SOU 2018:82
Kompletteringar till den nya säkerhetsskyddslagen
Till statsrådet och chefen för Justitiedepartementet
Regeringen beslutade den 23 mars 2017 att tillkalla en särskild utredare med uppdrag att överväga vissa frågor i säkerhetsskyddslagstiftningen (dir. 2017:32). Förslagen skulle komplettera de förslag som lämnats i betänkandet En ny säkerhetsskyddslag (SOU 2015:25). Genom tilläggsdirektiv den 18 januari 2018 utökades utredningens uppdrag och utredningstiden förlängdes till den 31 oktober 2018 (dir. 2018:2).
F.d. lagmannen Stefan Strömberg förordnades som särskild utredare den 2 maj 2017.
Förordnade sakkunniga under hela utredningstiden har varit numera kanslirådet Dan Leeman (Justitiedepartementet), kanslirådet Mia Persson (Försvarsdepartementet), ämnesrådet Margareta Gårdmark-Nylén (Näringsdepartementet) och kanslirådet Mats Rundström (Finansdepartementet).
Förordnade experter under hela utredningstiden har varit överste Anders Edholm (Försvarsmakten), strategiska experten Jesper Rikala (Försvarets materielverk), myndighetsjuristen Anna Trulsson (Myndigheten för samhällsskydd och beredskap), chefsjuristen Kristina Nilsson (Transportstyrelsen), juristen Joanna Rutkowska (Post- och telestyrelsen), säkerhetsskyddschefen Alireza Hafezi (Affärsverket svenska kraftnät), chefsjuristen Lena M Johansson (Länsstyrelsen i Stockholm) och rådmannen Karin Erlandsson (Södertörns tingsrätt). Ylva Söderlund (Säkerhetspolisen) förordnades som expert den 11 augusti 2017 och entledigades den 26 januari 2018. Samma dag entledigades även verksjuristen Sven Johnard (Säkerhetspolisen), varvid biträdande enhetschefen Ewa Bokwall och biträdande enhetschefen Linda Escar (båda Säkerhetspolisen) förordnades som experter.
Numera ämnesrådet Annette Norman (Justitiedepartementet) förordnades som expert i utredningen den 9 januari 2018. Numera kammarrättsassessorn Anders Lagerwall var förordnad som expert i utredningen under tiden den 28 juni 2017 till den 14 september 2017.
Annette Norman var sekreterare i utredningen under tiden den 2 maj 2017 till den 9 januari 2018. Anders Lagerwall var sekreterare i utredningen under tiden den 14 september 2017 till den 27 oktober 2018. Hovrättsassessorn Johanna Kallifatides förordnades som huvudsekreterare den 11 januari 2018.
Vi överlämnar härmed betänkandet Kompletteringar till den nya
säkerhetsskyddslagen(SOU 2018:82). Uppdraget är med detta slutfört.
Experterna har deltagit i arbetet i sådan utsträckning att detta är formulerat i vi-form. De ställer sig i stora delar bakom utredningens bedömningar och förslag. Skilda uppfattningar i enskildheter och beträffande formuleringar kan förekomma utan att detta har kommit till särskilt uttryck.
Stockholm i november 2018
Stefan Strömberg
/Johanna Kallifatides
Anders Lagerwall
Innehåll
Förklaring av begrepp och förkortningar ................................ 17
Sammanfattning ................................................................ 19
1 Författningsförslag..................................................... 41
1.1 Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)................................................................................ 41 1.2 Förslag till förordning om ändring i säkerhetsskyddsförordningen (2018:658)........................... 59
2 Utredningens uppdrag och arbete................................ 69
2.1 Utredningens uppdrag............................................................ 69 2.2 Något om begreppen .............................................................. 74 2.3 Utredningens arbete ............................................................... 75
3 Bakgrund och viss relevant reglering............................ 77
3.1 Inledning.................................................................................. 77 3.2 Bakgrunden till vårt uppdrag.................................................. 77 3.3 Betydelsen av samhällsutvecklingen och ett förändrat omvärldsläge............................................................................ 79 3.4 En översiktlig beskrivning av säkerhetsskyddsreglerna........ 81 3.4.1 Avsnittets innehåll................................................... 81 3.4.2 Vad är säkerhetsskydd?........................................... 81 3.4.3 Vem gäller reglerna för?.......................................... 83 3.4.4 Säkerhetsskyddsklassificering................................. 83
5
Innehåll SOU 2018:82
3.4.5 De olika säkerhetsskyddsåtgärderna...................... 84 3.4.6 Säkerhetsskyddsavtal .............................................. 86 3.4.7 Bemyndigande......................................................... 87 3.4.8 Säkerhetsprövning................................................... 88 3.4.9 Internationell säkerhetsskyddssamverkan och säkerhetsintyg................................................... 89 3.4.10 Tystnadsplikt........................................................... 90 3.4.11 Tillsyn ...................................................................... 90 3.5 Sekretessreglerna .................................................................... 90 3.6 Skyddet för enskildas rättigheter........................................... 93 3.6.1 Egendomsskyddet i regeringsformen .................... 93 3.6.2 Egendomsskyddet i Europakonventionen ............ 94 3.6.3 Näringsfriheten ....................................................... 95 3.6.4 Rätten till domstolsprövning ................................. 96 3.6.5 Rättsprövningslagen.............................................. 104
4 Nordisk utblick........................................................ 107
4.1 Inledning ............................................................................... 107 4.2 Norge .................................................................................... 107 4.3 Finland .................................................................................. 111 4.4 Danmark................................................................................ 115
5 Skyldigheten att ingå säkerhetsskyddsavtal.................117
5.1 Uppdraget ............................................................................. 117 5.2 Den relevanta regleringen .................................................... 119 5.3 Förhållandet mellan säkerhetsskyddslagen och offentlighets- och sekretesslagen ................................. 127 5.4 Skyldigheten att ingå säkerhetsskyddsavtal bör utvidgas .. 129 5.4.1 Utgångspunkter för våra överväganden............... 129 5.4.2 Situationer där avsaknaden av säkerhetsskyddsavtal kan medföra negativa konsekvenser ......................................................... 130
6
Innehåll
5.4.3 Skyldigheten att ingå säkerhetsskyddsavtal bör utgå från exponeringen av säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet.................... 136 5.4.4 Samverkan och samarbeten mellan statliga myndigheter bör undantas i vissa fall ................... 141 5.4.5 Andra än statliga myndigheter bör normalt omfattas av en skyldighet att ingå säkerhetsskyddsavtal ............................................. 149 5.4.6 Regeringen bör kunna föreskriva och besluta om undantag .......................................................... 150 5.4.7 Bestämmelsernas närmare utformning................. 151 5.5 Reglerna om behörighet bör övervägas ............................... 155 5.6 Kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning bör förtydligas ................................ 157
6 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet samt vissa andra förfaranden................... 159
6.1 Uppdraget.............................................................................. 159 6.2 Förhållandet till angränsande utredningar och reglering.... 164 6.2.1 Förhållandet till områdesreglering ....................... 164 6.2.2 Förhållandet till utredningen om förbättrat skydd för totalförsvarsverksamhet....................... 165 6.3 Den relevanta regleringen..................................................... 168 6.3.1 Säkerhetsskyddsavtal............................................. 168 6.3.2 Samrådsskyldighet, föreläggande och förbud...... 169 6.3.3 Upphandling .......................................................... 171 6.4 Problembeskrivning.............................................................. 176 6.4.1 Teknikutvecklingen har ökat Sveriges sårbarhet................................................................. 177 6.4.2 Verksamhetsutövare tillämpar inte säkerhetsskyddslagen ............................................ 178 6.4.3 Bristande kunskaper om egna skyddsvärden ....... 179 6.4.4 Bristande eller utebliven bedömning av lämpligheten........................................................... 181 6.4.5 Brister i arbetet med säkerhetsskyddsavtal.......... 185
7
Innehåll SOU 2018:82
6.4.6 Bristande eller utebliven uppföljning................... 186 6.4.7 Svårigheter att pröva leverantörens lämplighet... 188 6.4.8 Begränsade möjligheter att ingripa....................... 189 6.5 Inledning till våra överväganden om förebyggande åtgärder.................................................................................. 190 6.5.1 Inriktning på våra överväganden .......................... 191 6.5.2 Disposition av våra överväganden........................ 196 6.6 Säkerhetsskyddschefens roll i organisationen bör stärkas............................................................................. 197 6.7 En första kontrollstation – särskild säkerhetsbedömning och egen lämplighetsprövning ......... 200 6.7.1 Lämpligheten måste prövas .................................. 201 6.7.2 Det behövs ytterligare åtgärder för att skapa garantier för att lämpligheten prövas................... 205 6.7.3 Kravet på särskild säkerhetsbedömning bör utvidgas ........................................................... 206 6.7.4 Det bör införas ett uttryckligt krav på lämplighetsprövning......................................... 210 6.7.5 Reglerna bör omfatta hela det planerade förfarandet............................................................. 211 6.7.6 Reglerna förebygger mer än ett problem............. 212 6.7.7 Reglerna bör föras in i ett nytt kapitel i säkerhetsskyddslagen.......................................... 212 6.8 En andra kontrollstation – samråd, förelägganden och förbud............................................................................. 212 6.8.1 Det bör finnas en samrådsskyldighet och en möjlighet att meddela förelägganden eller förbjuda vissa förfaranden............................ 214 6.8.2 Bestämmelserna bör inte bara avse upphandlingar........................................................ 216 6.8.3 Alla verksamhetsutövare bör omfattas ................ 216 6.8.4 Den andra kontrollstationen bör bara gälla i vissa särskilt angelägna situationer..................... 217 6.8.5 Situationer som bör omfattas av den andra kontrollstationen................................................... 224 6.8.6 Tillsynsmyndigheterna bör ansvara för den andra kontrollstationen ................................. 227
8
Innehåll
6.8.7 När bör samrådet aktualiseras?............................. 230 6.8.8 Vad bör samrådet och möjligheten att meddela förelägganden och förbud omfatta? ...... 232 6.8.9 Reglerna om nödvändigt utlämnade aktualiseras i samrådet........................................... 235 6.8.10 Förfarandet hos tillsynsmyndigheten .................. 236 6.8.11 Tillsynsmyndigheten bör kunna initiera ett samråd............................................................... 246 6.9 En tredje kontrollstation – möjligheter för tillsynsmyndigheterna att ingripa i efterhand ..................... 247 6.9.1 Det bör införas en möjlighet att ingripa under ett pågående förfarande......................................... 248 6.9.2 Ingripandet bör ha formen av ett föreläggande ... 250 6.9.3 Ingripande bör kunna ske vid alla pågående förfaranden som omfattas av ett krav på säkerhetsskyddsavtal ............................................. 253 6.9.4 Förutsättningar för ett ingripande ....................... 254 6.9.5 Tillsynsmyndigheterna bör fatta beslut om förelägganden .................................................. 255 6.9.6 Anmälningsplikt gäller .......................................... 256 6.10 Överklagande ........................................................................ 257 6.10.1 Inledning ................................................................ 257 6.10.2 Både enskilda och offentliga aktörer
bör kunna överklaga besluten ............................... 258
6.10.3 Överklagande av beslut enligt den andra kontrollstationen.................................. 259 6.10.4 Överklagande av beslut enligt den tredje kontrollstationen.................................. 266 6.10.5 Om domstolsprövningen och rätten till partsinsyn m.m. ..................................................... 267 6.11 Uppföljning under avtalstiden och ändrade förhållanden........................................................................... 270 6.11.1 Uppföljning behöver beaktas när avtal
utformas ................................................................. 271
6.11.2 Kontroll av att säkerhetsskyddsavtalet följs ........ 271 6.11.3 Revidering av säkerhetsskyddsavtal efter ändrade förhållanden .................................... 272
9
Innehåll SOU 2018:82
6.12 Det bör införas tvångsåtgärder............................................ 274 6.12.1 Föreläggande och förbud bör kunna
kompletteras med tvångsåtgärder ........................ 274
6.12.2 Stockholms tingsrätt bör besluta om tvångsåtgärder ....................................................... 276 6.12.3 Tillsynsmyndigheten bör vara behörig att begära att tvångsåtgärder beslutas .................. 277 6.12.4 Övriga frågor om förfarandet............................... 278 6.13 Förslagens förhållande till egendomsskyddet och näringsfriheten samt rätten till ersättning ................... 279 6.14 Bemyndiganden .................................................................... 286
7 Överlåtelse av säkerhetskänslig verksamhet ................287
7.1 Uppdraget ............................................................................. 287 7.2 Förhållandet till angränsande utredningar och reglering ... 296 7.3 Viss relevant reglering .......................................................... 297 7.3.1 Säkerhetsskyddsregleringen om överlåtelser....... 297 7.3.2 Skyddet för enskildas rättigheter ......................... 298 7.3.3 Angränsande nationell reglering .......................... 298 7.4 Nordisk reglering ................................................................. 300 7.5 Problembeskrivning ............................................................. 301 7.5.1 Överlåtelser av säkerhetskänslig verksamhet kan medföra ökade sårbarheter för Sveriges säkerhet.................................................................. 301 7.5.2 Brister i säkerhetsskyddet accentueras vid överlåtelse ........................................................ 303 7.5.3 Ingen uttrycklig skyldighet för verksamheten att pröva lämpligheten........................................... 305 7.5.4 Inga befogenheter att ingripa i eller hindra överlåtelser......................................... 305 7.6 Inledning till våra överväganden om förebyggande åtgärder vid överlåtelse......................................................... 306 7.7 Det behövs särskilda förebyggande åtgärder avseende överlåtelse ............................................... 307
10
Innehåll
7.8 Ett system med kontrollstationer bör gälla även vid vissa överlåtelser ..................................................... 309 7.9 Den första kontrollstationen................................................ 312 7.9.1 Det övergripande innehållet i den första kontrollstationen ................................................... 312 7.9.2 Den första kontrollstationen bör bara gälla verksamhetsutövare............................................... 313 7.9.3 Överlåtelse av hela eller någon del av den säkerhetskänsliga verksamheten.................... 314 7.9.4 Överlåtelse av annan egendom än själva verksamheten .......................................... 315 7.9.5 Lämplighetsprövningen......................................... 317 7.10 Den andra kontrollstationen ................................................ 320 7.10.1 Den andra kontrollstationen bör omfatta
även aktie- och andelsägare................................... 321
7.10.2 Tillämpningsområdet bör i övrigt överensstämma med den första kontrollstationen ................................................... 322 7.10.3 Tillsynsmyndigheterna bör ansvara för den andra kontrollstationen.................................. 322 7.10.4 Samrådets omfattning ........................................... 323 7.10.5 Förutsättningar för ett förbud.............................. 323 7.10.6 Samrådet bör kunna avslutas med föreläggande................................................... 324 7.10.7 Handläggningen..................................................... 325 7.10.8 Tillsynsmyndigheten bör kunna initiera ett samråd............................................................... 325 7.11 Verkan av att man genomför en överlåtelse utan samråd eller trots ett förbud ............................................................. 326 7.11.1 Överlåtelser bör i vissa fall vara ogiltiga............... 326 7.11.2 Tillsynsmyndigheten bör kunna meddela
förelägganden mot både överlåtaren och förvärvaren ............................................................. 329
7.11.3 Det bör inte införas någon tidsgräns för ogiltighet och ingripande ................................ 331 7.12 Överklagande ........................................................................ 332
11
Innehåll SOU 2018:82
7.13 Det bör införas tvångsåtgärder............................................ 333 7.14 Förslagens förhållande till egendomsskyddet och rätten till ersättning....................................................... 334 7.15 Anmälnings-, upplysnings- och rapporteringsplikt ........... 336 7.16 Bemyndiganden .................................................................... 337
8 Tillsyn .................................................................... 339
8.1 Uppdraget ............................................................................. 339 8.2 Den relevanta regleringen .................................................... 342 8.2.1 Säkerhetsskyddslagen och säkerhetsskyddsförordningen .............................. 342 8.2.2 Tillsyn enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster............... 344 8.3 Utgångspunkter.................................................................... 345 8.4 Utvecklingsbehovet.............................................................. 348 8.4.1 Inledning................................................................ 348 8.4.2 Tillsynen är inte definierad och avgränsad .......... 349 8.4.3 Den samlade bilden över tillsynen saknas ........... 350 8.4.4 Informationsutbytet är inte reglerat.................... 351 8.4.5 Nödvändiga befogenheter saknas ........................ 352 8.4.6 Tillsynen som bedrivs är begränsad ..................... 353 8.4.7 Tillsynskompetensen behöver öka....................... 353 8.4.8 Antalet tillsynsobjekt kan inte anges................... 353 8.5 Vi lämnar inte förslag om en central tillsynsmyndighet..... 354 8.6 Säkerhetspolisen och Försvarsmakten bör vara samordningsmyndigheter ...................................... 356 8.7 En ny tillsynsstruktur........................................................... 360 8.7.1 Inledning................................................................ 362 8.7.2 Utgångspunkter för våra överväganden om tillsynsstrukturen............................................ 362 8.7.3 Fördelningen av tillsynsansvaret.......................... 363 8.7.4 Begreppet tillsynsmyndighet................................ 390 8.7.5 Organisatoriska faktorer ...................................... 390 8.7.6 Övertagande av tillsynsansvar .............................. 392
12
Innehåll
8.8 Tillsynens syfte och innehåll................................................ 395 8.9 Handläggningen av tillsynsärenden ..................................... 397 8.10 Tillsynsmyndigheternas undersökningsbefogenheter........ 398 8.10.1 Inledning och utgångspunkter
för våra överväganden............................................ 398
8.10.2 Tillträdesrätt för tillsynsmyndigheterna .............. 399 8.10.3 Verksamhetsutövarens uppgiftsskyldighet.......... 400 8.10.4 Förelägganden och handräckning......................... 401 8.11 Åtgärdsförelägganden........................................................... 402 8.12 Omedelbar verkställighet och inhibition............................. 404 8.13 Överklagande ........................................................................ 405 8.14 En sanktionerad anmälningsplikt......................................... 406 8.15 Systematisk kartläggning och dokumentation av tillsynsobjekt..................................................................... 409 8.16 Tillsyn bör ske med viss regelbundenhet ............................ 411 8.17 Tillsyn bör inte förenas med rådgivning.............................. 411 8.18 Ett nytt kapitel i säkerhetsskyddslagen............................... 412
9 Sanktioner .............................................................. 415
9.1 Uppdraget.............................................................................. 415 9.2 Straffrättsliga och administrativa sanktioner ...................... 416 9.3 Ingen straffbestämmelse i säkerhetsskyddslagen................ 417 9.4 Tillämpningsområdet för befintliga straffbestämmelser bör inte utvidgas.................................................................... 418 9.5 Sanktionsavgift bör införas .................................................. 422 9.6 Utgångspunkter för utformningen av sanktionsavgiftssystemet ................................................. 427 9.7 Vem ska betala sanktionsavgiften? ...................................... 429 9.8 Överträdelser som ska leda till sanktionsavgift .................. 431
13
Innehåll SOU 2018:82
9.9 Sanktionsavgift ska alltid tas ut ........................................... 439 9.10 Tillsynsmyndigheten ska besluta om sanktionsavgift........ 441 9.11 Sanktionsavgiftens storlek ................................................... 442 9.12 Hur sanktionsavgiften ska bestämmas i det enskilda fallet ................................................................ 445 9.13 Hinder mot sanktionsavgift................................................. 446 9.14 Förfarandet vid beslut om sanktionsavgift ......................... 447 9.15 Överklagande........................................................................ 448 9.16 Ett nytt kapitel i säkerhetsskyddslagen............................... 449
10 Ikraftträdande- och övergångsbestämmelser ...............451
10.1 Ikraftträdande....................................................................... 451 10.1.1 Allmänna överväganden........................................ 451 10.1.2 Särskilt om vitesförelägganden och
sanktionsavgift ...................................................... 452
10.2 Övergångsbestämmelser ...................................................... 453 10.2.1 Säkerhetsskyddsavtal ............................................ 453 10.2.2 Samråd.................................................................... 454 10.2.3 Vitesförelägganden................................................ 454 10.2.4 Sanktionsavgift...................................................... 454 10.2.5 Tillsynsmyndighetens möjlighet att ingripa
i efterhand.............................................................. 455
10.2.6 Tvångsåtgärder ...................................................... 455
11 Konsekvenser .......................................................... 457
11.1 Kommittéförordningens och utredningsdirektivens krav ........................................................................................ 457 11.2 Utgångspunkter och underlag för konsekvensanalysen..... 458 11.3 Aktörer som berörs av våra förslag ..................................... 460 11.3.1 Verksamhetsutövare.............................................. 460 11.3.2 Verksamhetsutövarens motpart ........................... 474 11.3.3 Aktie- och andelsägare i säkerhetskänsliga
verksamheter ......................................................... 475
14
Innehåll
11.3.4 Tillsynsmyndigheter.............................................. 476 11.3.5 Domstolarna .......................................................... 480 11.3.6 Regeringen ............................................................. 481 11.4 Ekonomiska konsekvenser och finansiering ....................... 482 11.4.1 Ekonomiska konsekvenser för det allmänna ....... 482 11.4.2 Ekonomiska konsekvenser för enskilda............... 499 11.4.3 Finansiering av tillsynsverksamheten................... 499 11.4.4 Åtgärder för att etablera det föreslagna
tillsynssystemet ..................................................... 501
11.4.5 Kompetensförsörjning och behov av utbildning............................................................... 503 11.4.6 Särskilt om beslut om placering i säkerhetsklass....................................................... 504 11.5 Övriga konsekvenser ............................................................ 505 11.5.1 Sveriges säkerhet.................................................... 505 11.5.2 Förslagens konsekvenser för den kommunala
självstyrelsen .......................................................... 507
11.5.3 Förslagen överensstämmer med de skyldigheter som följer av Sveriges anslutning till EU..................................................................... 508 11.5.4 Behov av speciella informationsinsatser............... 509 11.5.5 Övrigt..................................................................... 509
12 Författningskommentar ............................................ 511
12.1 Förslaget till lag om ändring i säkerhetsskyddslagen (2018:585).............................................................................. 511
Bilagor
Bilaga 1 Kommittédirektiv 2017:32 ........................................... 539
Bilaga 2 Kommittédirektiv 2018:2 ............................................. 549
15
Förklaring av begrepp och förkortningar
BrB Brottsbalken EFTA Europeiska frihandelssammanslutningen EU Europeiska unionen FFS Försvarets författningssamling FL Förvaltningslagen (2017:900) FPL Förvaltningsprocesslagen (1971:291) ISP Inspektionen för strategiska produkter Gamla säkerhetsskyddslagen Säkerhetsskyddslag (1996:627) Gamla Säkerhetsskyddsförordning säkerhetsskyddsförordningen (1996:633) LOU Lagen (2016:1145) om offentlig upphandling LUK Lagen (2016:1147) om upphandling av koncessioner LUFS Lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet LUF Lagen (2016:1146) om upphandling inom försörjningssektorerna MSB Myndigheten för samhällsskydd och beredskap Must Militära underrättelseoch säkerhetstjänsten
17
Förklaring av begrepp och förkortningar SOU 2018:82
NIS-direktivet Europaparlamentets och rådets direktiv (EU) 2016/1148 av
den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen
NIS-lagen lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster Nya säkerhetsskyddslagen Säkerhetsskyddslag (2018:585) Nya (Säkerhetsskyddsförordning säkerhetsskyddsförordningen (2018:658) PMFS Polismyndighetens författningssamling Verksamhetsutövare En offentlig eller enskild aktör som bedriver verksamhet som omfattas av säkerhetsskyddslagen
18
Sammanfattning
Vad är säkerhetsskydd
Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Säkerhetsskyddslagen skyddar verksamheter som har betydelse för Sveriges säkerhet ur ett nationellt perspektiv. Detta innebär att många verksamheter kan vara samhällsviktiga utan att de för den sakens skull anses som säkerhetskänsliga i säkerhetsskyddslagens mening. Det handlar alltså om skydd för de allra mest skyddsvärda verksamheterna mot i första hand antagonistiska angrepp. Säkerhetsskydd avser också verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Vårt uppdrag
Den 16 maj 2018 antog riksdagen en ny säkerhetsskyddslag som träder i kraft den 1 april 2019 (rskr. 2017/18:289, SFS 2018:585). Samtidigt träder säkerhetsskyddsförordningen (2018:658) i kraft. I betänkandet kallar vi lagen och förordningen för nya säkerhetsskyddslagenrespektive nya säkerhetsskyddsförordningen. Den hittills gällande säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633) kallar vi för gamla säkerhetsskyddslagenrespektive gamla
Den nya regleringen bygger i stora delar på de förslag som lämnades i betänkandet En ny säkerhetsskyddslag (SOU 2015:25). Vi har i uppdrag att i vissa delar komplettera de förslag som lämnades där. Vi ska lämna fullständiga författningsförslag, men inte överväga ändringar i grundlag. Vi ska bl.a.
19
Sammanfattning SOU 2018:82
– kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade
uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet, och föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning, – föreslå ett system med sanktioner i säkerhetsskyddslagstiftningen, – föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddslag-
stiftningen ska vara utformad, och – analysera och föreslå i vilken utsträckning verksamhetsutövare
som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser med utomstående som berör den säkerhetskänsliga verksamheten.
Våra huvudsakliga förslag sammanfattas i det följande.
Skyldigheten att ingå säkerhetsskyddsavtal utvidgas
Skyddet ska upprätthållas oavsett var verksamheten bedrivs
En grundläggande princip inom säkerhetsskyddet är att de intressen som lagstiftningen slår vakt om bör ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Bestämmelserna om säkerhetsskyddsavtal är ett uttryck för denna princip. Enligt 2 kap. 6 § nya säkerhetsskyddslagen ska statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader i vissa fall vara skyldiga att ingå ett säkerhetsskyddsavtal med leverantören. I avtalet ska det anges hur kraven på säkerhetsskydd ska tillgodoses. Skyldigheten att ingå säkerhetsskyddsavtal kommer enligt reglerna att gälla även för enskilda verksamhetsutövare i motsvarande situationer. En utgångspunkt för våra resonemang om en utvidgad skyldighet att ingå säkerhetsskyddsavtal är att informationens eller verksamhetens skydd ska upprätthållas när en aktör som bedriver säkerhetskänslig verksamhet avser att ge någon utomstående tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt till säkerhetskänslig verksamhet.
20
SOU 2018:82 Sammanfattning
Det finns situationer där avsaknaden av säkerhetsskyddsavtal kan medföra negativa konsekvenser
Det finns situationer där säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet exponeras för utomstående, men där det inte finns någon skyldighet att ingå säkerhetsskyddsavtal. Ett exempel på detta kan vara olika former av samarbeten och samverkan som inte handlar om anskaffning av varor, tjänster eller byggentreprenader. Ett annat exempel kan vara situationer där det är leverantörens och inte beställarens skyddsvärden som behöver skyddas. Regleringen om säkerhetsskyddsavtal omfattar inte sådana fall, utan utgår ifrån att det är beställaren som ställer krav på säkerhetsskydd hos en leverantör. Det finns också situationer där det är oklart om det gäller krav på säkerhetsskyddsavtal.
Om det inte ställs krav på säkerhetsskyddsavtal i alla relevanta situationer där säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet kommer att exponeras för utomstående, ökar sannolikheten för att motparten inte vidtar de säkerhetsskyddsåtgärder som behövs. Detta gäller även om den utomstående parten också bedriver säkerhetskänslig verksamhet och därmed omfattas av säkerhetsskyddslagens bestämmelser. Avsaknad av säkerhetsskyddsavtal kan ytterst leda till skada för Sveriges säkerhet.
Skyldigheten bör gälla i betydligt fler situationer
Vi föreslår att skyldigheten att ingå säkerhetsskyddsavtal utvidgas på så sätt att den också ska gälla för andra förfaranden än upphandlingar och andra anskaffningar. Den utvidgade skyldigheten innebär att den som bedriver säkerhetskänslig verksamhet (verksamhetsutövaren) ska ingå ett säkerhetsskyddsavtal så snart verksamhetsutövaren avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part, om förfarandet
1. innebär att den utomstående parten kan få tillgång till säker-
hetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
21
Sammanfattning SOU 2018:82
2. i övrigt avser eller kan ge den utomstående parten tillgång till
säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Förfaranden mellan statliga myndigheter undantas
Vi bedömer att det inte finns något påtagligt behov av att statliga myndigheter som samverkar eller samarbetar om något annat än en anskaffning ska vara skyldiga att ingå säkerhetsskyddsavtal och att en sådan skyldighet dessutom skulle ha nackdelar. Vi föreslår därför att skyldigheten att ingå säkerhetsskyddsavtal inte ska gälla samarbeten och samverkan mellan två eller flera statliga myndigheter som avser något annat än en anskaffning av varor, tjänster och byggentreprenader.
Regeringen kan föreskriva och besluta om undantag
Vi anser vidare att regeringen bör kunna föreskriva om undantag från skyldigheten att ingå säkerhetsskyddsavtal, t.ex. när det gäller anskaffning mellan vissa myndigheter, och besluta om undantag i enskilda fall. Vi föreslår därför ett bemyndigande i dessa avseenden.
22
Figur 1.1 Skyldighet att ingå säkerhetsskyddsavtal
Av se r de n s om be dr iv er sä ke rhe ts kä ns lig ve rk sa m he t a tt i nl ed a nå go n f or m av
uppha ndl in g, av ta l, s am ar be te el ler sa m ve rk an m ed e n ut om st åe nd e pa rt?
Ja
Är d et så at t f ör far an de t
1) inne bä r a tt de n ut om st åe nde pa rte n k an f å t ill gå ng ti ll uppg ift er i
sä ke rh et ss ky dd sk las se n k on fid en tie ll e lle r h ög re , e lle r
2) i ö vr ig t a vs er el le r k an g e de n ut om st åe nde pa rte n t illg ång ti ll s äk er he ts kä ns lig
ve rk sa m he t a v m ot sv ar an de be ty de lse fö r S ve rig es sä ke rh et ?
Ja
Är de t f råg a o m sam ve rk an el le r s am ar be te m el lan st at lig a m yn di gh et er so m
av se r a nna t ä n en a ns ka ffni ng av en v ar a, tj äns t e lle r by gg ent re pr ena d?
Ja
De t r åde r i ng en s ky ldi ghe t a tt i ng å
säk er he ts sk yd ds av tal .
Ne j
Fi nns de t f ör es kr ift er om unda nt ag so m om fa tta r de n
ak tue lla si tua tio ne n, el le r ha r r eg er ing en be slut at om
unda nt ag i de t e ns ki lda fa lle t?
Ja
Ne j
Ne j
De t r åde r e n s ky ldi ghe t a tt i ng å
säk er he ts sk yd ds av tal .
Sammanfattning
Förebyggande åtgärder i samband med utkontraktering, upplåtelse och vissa andra förfaranden
Utvecklingsbehovet
Vår kartläggning visar att det finns flera brister i säkerhetsskyddsarbetet som bl.a. yttrar sig vid utkontraktering av säkerhetskänslig verksamhet men också vid vissa upplåtelser och andra förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten.
23
Sammanfattning SOU 2018:82
Vissa av bristerna gäller säkerhetsskyddet generellt, t.ex. att verksamhetsutövaren inte tillämpar säkerhetsskyddsreglerna eller har bristande kunskap om sina skyddsvärden. Sådana brister accentueras när verksamhetsutövaren utkontrakterar en del av den säkerhetskänsliga verksamheten eller på annat sätt kopplar in utomstående i verksamheten. Andra brister handlar specifikt om olika förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten, däribland utkontraktering och upplåtelse men också andra förfaranden. Bristerna handlar om att man inte alltid prövar om förfarandet är lämpligt eller att det är svårt att pröva lämpligheten, att säkerhetsskyddsavtal kan vara bristfälliga, att man inte följer upp förfarandet medan det pågår och att det saknas tillräckliga möjligheter för samhället att ingripa mot förfaranden som är olämpliga från säkerhetsskyddssynpunkt.
En bred ansats
Med utgångspunkt i kartläggningen av utvecklingsbehovet föreslår vi ett antal förebyggande åtgärder som inte enbart är inriktade på utkontraktering och upplåtelse, utan som kan aktualiseras även vid vissa andra förfaranden med utomstående parter. Vi har delat upp åtgärderna i steg, som vi kallar kontrollstationer. Förslagen i de första två kontrollstationerna bygger delvis på bestämmelserna i 2 kap. 6 § nya säkerhetsskyddsförordningen. Förslagen går ut på följande.
Kontrollstation 1 – Särskild säkerhetsbedömning och egen lämplighetsprövning
Den första kontrollstationen gäller för den som bedriver säkerhetskänslig verksamhet och som avser att genomföra ett förfarande som kräver säkerhetsskyddsavtal. Innan förfarandet inleds ska verksamhetsutövaren genom en särskild säkerhetsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den utomstående parten kan få tillgång till och som kräver säkerhetsskydd. Med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt (lämplighetsprövning).
24
SOU 2018:82 Sammanfattning
Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas. Detta anges uttryckligen i regleringen. Den särskilda säkerhetsbedömningen och lämplighetsprövningen ska dokumenteras.
Kontrollstation 2 – Samråd, förelägganden och förbud
Den andra kontrollstationen går bl.a. ut på att verksamhetsutövare som planerar att inleda ett förfarande i vissa fall ska samråda med tillsynsmyndigheten. Samrådsskyldigheten gäller om det planerade förfarandet innebär krav på säkerhetsskyddsavtal, och
1. innebär att den utomstående parten kan få tillgång till eller möj-
lighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler,
2. utgör en upplåtelse som kan ge den utomstående parten tillgång
till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet, eller
3. ger den utomstående parten tillgång till informationssystem utan-
för verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.
I den andra kontrollstationen ingår även en möjlighet för tillsynsmyndigheten att förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet. Ett föreläggande eller förbud får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.
Vi föreslår att ett föreläggande ska få överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart. Prövningstillstånd bör krävas vid överklagande till kammarrätten. Ett förbud föreslås få överklagas till regeringen. Enskilda kan begära
25
Sammanfattning SOU 2018:82
att regeringens beslut prövas enligt lagen (2006:304) om rättsprövning av vissa regeringsbeslut.
Förslagen bygger på att verksamhetsutövaren själv är skyldig att initiera samrådet. Det kan dock förekomma att en verksamhetsutövare försummar att göra det, antingen medvetet eller av förbiseende. Vi föreslår därför att även tillsynsmyndigheten ska kunna ta initiativ till samråd om förutsättningarna för samrådsskyldighet är uppfyllda.
Kontrollstation 3
Den tredje kontrollstationen är en sorts ”nödbroms”, som innebär en möjlighet för tillsynsmyndigheten att ingripa mot ett pågående förfarande, t.ex. en pågående utkontraktering eller ett annat pågående samarbete. Om ett sådant pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten förelägga verksamhetsutövaren eller den utomstående parten i förfarandet att vidta de åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Föreläggandet kan bl.a. innebära ett krav på att hela eller delar av förfarandet ska upphöra. Ett föreläggande får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.
Föreläggandet får förenas med vite och får överklagas till regeringen.
Förtydligade krav på uppföljning
Det är av stor vikt att verksamhetsutövare följer upp pågående utkontrakteringar och andra pågående samarbeten och förfaranden där det har ingåtts ett säkerhetsskyddsavtal. Vi föreslår därför bestämmelser som går ut på att verksamhetsutövaren har både rätt och skyldighet att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden.
26
SOU 2018:82 Sammanfattning
27
Figur 1.2 Förfarandet vid utkontraktering, upplåtelse och vissa andra förfaranden
Förebyggande åtgärder i samband med överlåtelse av säkerhetskänslig verksamhet och egendom med betydelse för Sveriges säkerhet
Utvecklingsbehovet
Överlåtelser av säkerhetskänslig verksamhet och egendom som har betydelse för Sveriges säkerhet kan medföra sårbarheter för Sveriges säkerhet. Till skillnad från andra förfaranden så som utkontraktering
Te ck na s äk er he ts sk yd ds av tal
Sä g upp s äk er he ts sk ydds av ta l
Lä m pl ig t
Ol äm pl ig t
Uppf yl le r de t pl ane ra de fö rfa ra nd et nå go n a v f öl ja nd e t re punk te r?
1) Ka n de n ut om st åe nde pa rte n f å t ill gå ng ti ll e lle r m öj lig he t a tt
fö rv ar a uppg ift er i s äk er he ts sk yd ds kla ss en he m lig el ler hö gr e
ut an fö r v er ks am he tsu tö va re ns lo ka le r?
2) Är de t e n uppl åt el se so m ka n g e de n ut om st åe nde pa rte n t ill gå ng til l
sä ke rhe ts kä ns lig ve rk sa m he t i öv rig t a v m ot sv ar ande be ty de lse fö r
Sv er ig es sä ke rh et so m 1) ?
3) Ge s de n ut om st åe nde pa rte n t ill gå ng til l inf or m at io ns sy st em ut an fö r
ve rk sa m he ts utö va re ns lo ka le r o ch ka n å tk om st ti ll s ys te m en
m ed fö ra al lv ar lig sk ad a f ör Sv er ig es säk er he t?
Ko nt ro lls tat io n 2 ( sam råd )
Ti lls yns m yndi ghe te n prö va r
FÅR INT E I NL ED AS
Ko nt ro lls ta tio n 1
St eg 1 : G ör s ärs ki ld s äk erhe ts be dö m ni ng
St eg 2 : G ör e ge n lä m pl ig he ts prö vni ng
FÖ RB UD
Ol äm pl ig t
FÖ RE LÄG GAND E
O läm plig t me n
kan rät tas till
Ja
Av se r v er ks am he tsu tö va re n a tt i nl ed a e tt f ör fa ra nd e s om kr äv er
sä ke rhe ts sk ydds av ta l e nl igt fi gu r 1 .1 ?
Ja
Ne j
Ne j
Ge nom för fö rfa ra nd e
Fö re läg gan de
fö ljs in te
Sammanfattning SOU 2018:82
och upplåtelse innebär överlåtelser dessutom att den som tidigare bedrivit verksamheten förlorar möjligheten att påverka hur den säkerhetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna kommer att användas efter överlåtelsen. Det är problematiskt att det inte finns någon uttrycklig skyldighet för verksamhetsutövaren att pröva lämpligheten av en överlåtelse av hela eller delar av verksamheten eller av egendom i verksamheten som har betydelse för Sveriges säkerhet. Det är även problematiskt att det inte finns några möjligheter för samhället att ingripa mot överlåtelser som är olämpliga från säkerhetsskyddssynpunkt.
Kontrollstation 1 och 2 tillämpas även vid vissa överlåtelser
Vi föreslår att kontrollstation 1 och 2 ska gälla även när en verksamhetsutövare som omfattas av säkerhetsskyddslagen avser att överlåta
1. hela eller någon del av den säkerhetskänsliga verksamheten, eller
2. någon egendom i den säkerhetskänsliga verksamheten som har
betydelse för Sveriges säkerhet eller för ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Om dessa förutsättningar är uppfyllda ska verksamhetsutövaren alltså genomföra en särskild säkerhetsbedömning och lämplighetsprövning och därefter samråda med tillsynsmyndigheten, som får förelägga överlåtaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras. En skillnad i förhållande till utkontraktering, upplåtelse och vissa andra förfaranden är att samrådet vid överlåtelse även får avslutas med ett föreläggande som innebär att överlåtelsen endast får genomföras på vissa villkor, vid påföljd att överlåtelsen annars är ogiltig.
Vi föreslår vidare att kontrollstation 2 ska gälla även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet. Skälet är bl.a. att det annars blir för lätt att kringgå reglerna. Kraven föreslås dock inte gälla i fråga om den som avser att överlåta aktier i publika aktiebolag.
28
SOU 2018:82 Sammanfattning
Även här föreslår vi att ett föreläggande ska få överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart, och att förbud ska få överklagas till regeringen. Prövningstillstånd bör krävas vid överklagande av förvaltningsrättens beslut.
Liksom när det gäller utkontraktering m.m. förslår vi att det är den samrådsskyldige som ska inleda samrådet, men att det ska vara tillåtet för tillsynsmyndigheten att initiera samrådet om förutsättningarna för samrådsskyldighet är uppfyllda.
Vissa överlåtelser anses ogiltiga
Vi föreslår att en överlåtelse av säkerhetskänslig verksamhet eller egendom ska vara ogiltig om den har genomförts trots att tillsynsmyndigheten förbjudit överlåtelsen. Samma sak föreslås gälla om samrådet har avslutats med ett föreläggande vid påföljd av ogiltighet och överlåtelsen genomförts i strid med de villkor som ställts upp i föreläggandet.
Om en samrådspliktig överlåtelse har genomförts utan samråd och förutsättningarna för ett förbud enligt kontrollstation 2 är uppfyllda, föreslår vi att tillsynsmyndigheten ska kunna förbjuda överlåtelsen i efterhand. Även i det fallet föreslår vi att överlåtelsen ska anses ogiltig.
Om en överlåtelse är ogiltig föreslår vi att tillsynsmyndigheten ska ha en möjlighet att meddela de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet, och att förena föreläggandet med vite.
Vi föreslår att förelägganden och förbud som nu avses ska få överklagas till regeringen.
En ändrad anmälningsplikt
Vi föreslår att anmälningsplikten i 2 kap. 9 § första stycket nya säkerhetsskyddsförordningen vid överlåtelser av säkerhetskänslig verksamhet upphävs till följd av våra förslag om samråd. Vi föreslår vidare att denna ersätts av en anmälningsplikt för en verksamhetsutövare som får kännedom om att någon annan än verksamhetsutövaren planerar att överlåta eller har överlåtit verksamheten eller sådan egendom i verksamheten som har betydelse för Sveriges säkerhet eller för
29
Sammanfattning SOU 2018:82
ett för Sverige förpliktande åtagande om säkerhetsskydd. Verksamhetsutövaren ska i ett sådant fall skyndsamt anmäla förhållandet till tillsynsmyndigheten.
Figur 1.3 Förfarandet vid överlåtelser av säkerhetskänslig verksamhet och viss egendom
SAM RÅD ET AV SL UT AS
Ti lls yn sm yn di gh et en
Få r i ng ripa fö r a tt fö rhi ndr a s ka da
Ol äm pl ig t
FÅR INT E I NL ED AS
Ko nt ro lls ta tio n 1
St eg 1 : G ör s ärs ki ld s äk erhe ts be dö m ni ng
St eg 2 : G ör e ge n lä m pl ig he ts prö vni ng
Av se r e n a nd el sel le r ak tie äg ar e at t ö ve rlåt a ak tie r e lle r an de lar i s äk er he ts kän sli g
ve rk sa m he t s om be dr ivs i nå go n a nna n f or m än so m et t publ ik t a kt ie bo lag ?
Ja
Ja
Ko nt ro lls tat io n 2 ( sam råd )
Ti lls yns m yndi ghe te n prö va r
FÖ RB UD
Ol äm pl ig t
FÖ RE LÄG GAND E
Ol äm pl ig t m en
kan rät tas ti ll
Lä m pl ig t
FÖ RE LÄG GAND E
m ed vi llk or
Fö re läg gan de t
fö ljs in te
Lä mp lig t o m
vi llk or ia kt ta s
Villkoren följs inte
OGI LT IGH ET in trä de r
Ö ver lå tel sen ge no m fö rs
FÖ RE LÄG GAND E
Villkoren följs
Av se r v er ks amh et su tö va re n att ö ve rlå ta
1) he la el le r n åg on de l a v d en sä ke rh et sk än sli ga ve rk sa m he te n, el le r
2) eg endo m i de n s äk er he tsk äns lig a v er ks am he te ns om ha r be ty de lse fö r
Sv er ig es sä ke rh et el le r f ör et t f ör Sv er ig e f ör pl ikt an de i nt er na tio ne llt
åt ag an de om säk er he ts sk yd d?
30
SOU 2018:82 Sammanfattning
Figur 1.4 Överlåtelse som genomförts utan samråd
Ti lls yn sm yn di gh et en
Får in gr ip a fö r at t f ör hin dr a sk ad a
Ti lls yn sm yn di gh et en
Gö r r et ro ak tiv p rö vn in g a v
frå ga n o m fö rbud
FÖ RB UD
O läm plig t, d vs .
fö rbud s kul le
ha m edde la ts
Fö rbud ej a kt ue llt
In ge n åt gär d m ot öv er låt els en ,
m en s an kt io ns av gif t k an b li
ak tu ellt
O GI LT IG HE T i nt rä de r
FÖ RE LÄ GG AN DE
En öv er lå tel se g en om fö rs
ut an s lu tfö rt s am råd
Tvångsåtgärder
Som har framgått i det föregående föreslår vi att tillsynsmyndigheten under vissa förhållanden ska kunna besluta om förelägganden och förbud i samband med utkontraktering, upplåtelse, överlåtelse och vissa andra förfaranden. Om ett sådant förbud eller föreläggande meddelats, föreslår vi att tillsynsmyndigheten även ska kunna ansöka om att Stockholms tingsrätt beslutar om sådana tvångsåtgärder som avses i 15 kap.1–3 §§rättegångsbalken, dvs. bland annat kvarstad.
31
Sammanfattning SOU 2018:82
Ansökan ska kunna beviljas om tvångsåtgärden behövs för att ändamålet med förbudet eller föreläggandet inte ska motverkas och det är proportionerligt med en sådan tvångsåtgärd. En tvångsåtgärd ska kunna beslutas även om föreläggandet eller förbudet inte fått laga kraft.
Vidare föreslår vi att följande ska gälla. Tillsynsmyndigheten åläggs en skyldighet att genast meddela rätten när syftet med en tvångsåtgärd har uppnåtts, eller det av någon annan anledning inte längre finns skäl för åtgärden. Rätten ska omedelbart upphäva åtgärden om det inte längre finns skäl för den och ska ompröva åtgärden med fyra veckors mellanrum. Åtgärden får inte upphävas utan hörande av tillsynsmyndigheten.
Figur 1.5 Tvångsåtgärder
Ha r de t m edde la ts et t f öre lä gg ande el le r fö rbud s om a vs es i
fig ur 1. 2, 1 .3 e lle r 1 .4 ?
Ing en t vå ng så tg ärd Be hö vs en tv ång så tg ärd e nl ig t 1 5 k ap. 1– 3 rä tt eg ång sba lke n
fö r a tt än dam ål et m ed fö rbude t e lle r f öre lä gg ande t int e s ka
m ot ver ka s?
Är de t pro po rt io ne rli gt
m ed en t vå ng så tg ärd?
St oc kho lm s t ing srä tt få r m edde la
tv ån gs åt gä rd
• Om prö va s v ar f jä rde ve ck a
• Sk a upphä va s nä r de n int e l äng re be hö vs
Ne j
Ja
Ja
Ja
32
SOU 2018:82 Sammanfattning
En förbättrad tillsyn med utökade befogenheter
Utvecklingsbehovet
Vi har identifierat ett antal brister när det gäller tillsynsverksamheten och regleringen av tillsynen på säkerhetsskyddsområdet. Vi har till att börja med konstaterat att det inte är definierat och avgränsat vad tillsynen syftar till och avser. Ingen myndighet har en samlad bild över tillsynen. Vidare saknas det reglering om hur tillsynsmyndigheterna ska utbyta hotinformation med Säkerhetspolisen och Försvarsmakten.
När det gäller själva tillsynen konstaterar vi att tillsyn hittills har bedrivits i alltför begränsad omfattning. Vidare anser vi att tillsynsmyndigheterna saknar de befogenheter som krävs för att de ska kunna genomföra en effektiv tillsyn och åstadkomma rättelse. Tillsynskompetensen behöver öka hos många tillsynsmyndigheter och det behöver skapas en överblick över vilka tillsynsobjekt som finns inom respektive tillsynsområde.
Säkerhetspolisen och Försvarsmakten blir samordningsmyndigheter
Med utgångspunkt i utvecklingsbehovet föreslår vi att Säkerhetspolisen och Försvarsmakten ska vara samordningsmyndigheter. I denna roll ligger att de ska ansvara för att följa upp, utvärdera och utveckla tillsynsarbetet, i samråd utveckla och tillhandahålla metodstöd för tillsyn, verka för erfarenhetsutbyte och förmedla relevant hotinformation till tillsynsmyndigheterna.
En utvecklad tillsynsstruktur
Vi föreslår även en delvis ny tillsynsstruktur som bygger på att Säkerhetspolisens och Försvarsmaktens resurser i huvudsak ska läggas på ansvaret som samordningsmyndighet och tillsyn över de allra mest skyddsvärda verksamheterna. Vi föreslår en tillsynsmyndighet för varje sakområde där det typiskt sett bedrivs säkerhetskänslig verksamhet, och bygger valet bl.a. på befintlig sak- och tillsynskompetens.
33
Sammanfattning SOU 2018:82
Ett antal myndigheter föreslås få fortsatt ansvar för att bedriva tillsyn enligt nya säkerhetsskyddslagen, nämligen Försvarsmakten, Säkerhetspolisen, Affärsverket svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen samt länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län. Vi föreslår också att Försvarets materielverk, Finansinspektionen, Statens energimyndighet och Strålsäkerhetsmyndigheten blir nya tillsynsmyndigheter. Vidare föreslår vi att ett antal länsstyrelser inte längre ska bedriva tillsyn, nämligen länsstyrelserna i Blekinge, Dalarnas län, Gotlands län, Gävleborg, Hallands län, Jämtlands län, Jönköpings län, Kalmar län, Kronobergs län, Södermanlands län, Uppsala län, Värmland, Västerbotten, Västernorrland, Västmanlands län, Örebro län och Östergötland.
Säkerhetspolisen och Försvarsmakten kan ta över tillsynsansvaret
Det kan uppstå situationer där det finns ett behov av att Säkerhetspolisen eller Försvarsmakten utövar tillsyn över ett tillsynsobjekt som ligger under någon annan myndighets ordinarie tillsynsansvar. Ett exempel kan vara när det på grund av förändrade omständigheter är nödvändigt för att snabbt kunna agera och se till att åtgärder vidtas. Ett annat exempel kan vara att det inom ramen för ett samrådsförfarande inför t.ex. en utkontraktering eller överlåtelse av säkerhetskänslig verksamhet uppmärksammas att ärendet inrymmer särskilt känsliga uppgifter som inte bör hanteras av den ordinarie tillsynsmyndigheten. Vi föreslår därför att Säkerhetspolisen och Försvarsmakten ges möjlighet att ta över tillsynsansvaret över tillsynsobjekt som tillhör en annan tillsynsmyndighets ansvarsområde om det finns särskilda skäl. När det inte längre finns skäl för övertagandet ska tillsynsansvaret enligt förslaget återgå till tillsynsmyndigheten.
Tillsynens syfte och innehåll förtydligas
Det bör även i fortsättningen anges i säkerhetsskyddslagen att tillsynsmyndigheten ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för. Möjligheten att utöva tillsyn hos den som träffat ett säkerhetsskyddsavtal bör anpassas till våra
34
SOU 2018:82 Sammanfattning
förslag om att sådana avtal inte bara ska kunna ingås med leverantörer utan också med andra utomstående aktörer. Vi föreslår vidare att det förtydligas att tillsynen går ut på kontroll av att säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till lagen följs.
Tillsynsmyndigheterna får nya undersökningsbefogenheter
I syfte att förstärka och effektivisera tillsynen föreslår vi flera nya undersökningsbefogenheter och dessutom en informationsskyldighet för tillsynsobjekten. Vi föreslår att tillsynsmyndigheten ges rätt att – i den omfattning det behövs för tillsynen få tillträde till områden,
lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn, – begära handräckning av Kronofogdemyndigheten för att genom-
föra tillsynsåtgärder, och – förelägga den som står under tillsyn att tillhandahålla information
och att ge tillträde till lokaler och liknande och att förena föreläggandet med vite.
Vi föreslår vidare en uttrycklig skyldighet för den som står under tillsyn att på begäran ge tillsynsmyndigheten den information som behövs för tillsynen.
Tillsynsmyndigheten får meddela åtgärdsförelägganden för att åstadkomma rättelse
Vi föreslår att tillsynsmyndigheten ska få besluta de förelägganden som behövs för att de som omfattas av tillsyn enligt säkerhetsskyddslagen ska fullgöra skyldigheter enligt lagen eller föreskrifter som har meddelats i anslutning till den (åtgärdsföreläggande) och att sådana förelägganden ska få förenas med vite.
35
Sammanfattning SOU 2018:82
Överklagande
Vi föreslår att förelägganden som utfärdas i samband med tillsyn ska kunna överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten bör vara motpart. Prövningstillstånd bör krävas vid överklagande till kammarrätten.
Förbättrad överblick över tillsynsobjekten
Utan en samlad bild över den säkerhetskänsliga verksamhet som bedrivs inom respektive ansvarsområde är det enligt vår mening inte möjligt för tillsynsmyndigheten att planera och bedriva en effektiv tillsyn. Vi föreslår därför att den som bedriver säkerhetskänslig verksamhet åläggs en skyldighet att utan dröjsmål anmäla detta till tillsynsmyndigheten, och att även utan dröjsmål anmäla när den säkerhetskänsliga verksamheten upphör. Som kommer att utvecklas under nästa rubrik föreslår vi vidare att underlåtelse att fullgöra anmälningsplikten beläggs med sanktionsavgift.
Vidare föreslår vi att tillsynsmyndigheten genom en systematisk och regelbunden kartläggning ska identifiera de verksamheter inom tillsynsmyndighetens ansvarsområde som omfattas av säkerhetsskyddslagen och hålla en uppdaterad förteckning över dessa.
Ett system med sanktioner
Sanktionsavgift i stället för straffsanktioner
Vi har övervägt om det bör införas särskilda straffbestämmelser för överträdelse av bestämmelserna i säkerhetsskyddslagen och de föreskrifter som meddelats med stöd av den lagen. Vår bedömning är dock att det är mer lämpligt att man inför regler om att tillsynsmyndigheten kan besluta om sanktionsavgift.
36
SOU 2018:82 Sammanfattning
Sanktionerade överträdelser
Vi föreslår att tillsynsmyndigheten ska ta ut en sanktionsavgift av den verksamhetsutövare som underlåter att – anmäla att den säkerhetskänsliga verksamheten bedrivs eller har
upphört, – utföra eller uppdatera en säkerhetsskyddsanalys, – vidta säkerhetsskyddsåtgärder, – säkerhetsskyddsklassificera uppgifter, – kontrollera säkerhetsskyddet i den egna verksamheten eller att
fullgöra anmälnings- eller rapporteringsplikt, – ingå ett säkerhetsskyddsavtal eller som ingår ett säkerhetsskydds-
avtal som är bristfälligt i väsentlig mån, eller – utse en säkerhetsskyddschef (se längre fram om våra förslag i fråga
om en utvidgad skyldighet att ha en sådan chef).
Vi föreslår också att sanktionsavgift ska tas ut av en verksamhetsutövare som inleder ett förfarande eller genomför en samrådspliktig överlåtelse i strid med ett meddelat förbud eller utan att fullgöra samrådsskyldigheten. Detsamma föreslås gälla en verksamhetsutövare som genomför en överlåtelse i strid med villkor som meddelats i samband med att samrådet avslutades. Vi föreslår vidare att en verksamhetsutövare som lämnar oriktiga uppgifter i samband med tillsyn eller samråd ska kunna åläggas sanktionsavgift.
Enligt våra förslag ska sanktionsavgift även tas ut av en aktie- eller andelsägare som genomför en överlåtelse utan att fullgöra sin samrådsskyldighet eller i strid med ett meddelat förbud eller villkor, eller som lämnar oriktiga uppgifter vid samrådet.
Sanktionsavgift ska alltid tas ut
Vi föreslår att regleringen om sanktionsavgifter ska bygga på strikt ansvar och att det ska vara obligatoriskt att ta ut sanktionsavgift när en bestämmelse i säkerhetsskyddslagstiftningen som kan föranleda avgift har överträtts.
37
Sammanfattning SOU 2018:82
Sanktionsavgiftens storlek
Avgiften bör bestämmas till lägst 5 000 kronor och högst 10 miljoner kronor. När sanktionsavgiftens storlek bestäms i det enskilda fallet föreslår vi att särskild hänsyn ska tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, till om den avgiftsskyldige tidigare begått en överträdelse och till de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen. Vi föreslår att sanktionsavgiften ska kunna efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Hinder mot sanktionsavgift
Vi föreslår att tillsynsmyndigheten inte ska få ingripa med sanktionsavgift om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
Förfarandet vid beslut om sanktionsavgift
I fråga om förfarandet föreslår vi att följande ska gälla. Sanktionsavgift får inte beslutas om den som anspråket riktas mot inte har getts tillfälle att yttra sig inom två år efter överträdelsen. Ett beslut om sanktionsavgift ska delges. Sanktionsavgiften ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid, ska tillsynsmyndigheten lämna den obetalda avgiften för indrivning. Vid indrivning ska verkställighet få ske enligt utsökningsbalken. En beslutad sanktionsavgift ska falla bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft. Sanktionsavgifter ska tillfalla staten. Beslutet överklagas till Förvaltningsrätten i Stockholm, varvid tillsynsmyndigheten är motpart. Prövningstillstånd bör krävas vid överklagande till kammarrätten.
38
SOU 2018:82 Sammanfattning
Tre nya kapitel i säkerhetsskyddslagen
Våra förslag om förebyggande åtgärder i samband med bl.a. utkontraktering och överlåtelse är omfattande och bestämmelserna passar inte särskilt väl in i något av de befintliga kapitlen i nya säkerhetsskyddslagen. Vi föreslår därför att det införs ett nytt kapitel, kallat 2 a kap. Vi föreslår också att det införs ett nytt 4 a kap. om tillsyn och ett 4 b kap. om ingripande och sanktioner.
Övriga förslag
Vi lämnar även vissa andra förslag, däribland om skärpta krav på uppdatering av säkerhetsskyddsanalys och en förtydligad koppling mellan säkerhetsskyddsavtal och säkerhetsprövning. Ett viktigt förslag handlar om säkerhetsskyddschefer. Vår kartläggning visar att säkerhetsskyddsfrågor ofta får en alltför undanskymd roll i verksamheten och att andra hänsyn, inte minst ekonomiska sådana, ges en överordnad roll. Detta kan bl.a. innebära att säkerhetsskyddsfrågor inte beaktas tillräckligt i samband med utkontraktering och andra förfaranden där utomstående aktörer involveras i den säkerhetskänsliga verksamheten. Vi föreslår därför att alla säkerhetskänsliga verksamheter ska ha en säkerhetsskyddschef, om det inte är uppenbart obehövligt. Vi föreslår vidare att säkerhetsskyddschefens roll förtydligas och att det ställs krav på att säkerhetsskyddschefen ska vara direkt underställd den person som är ansvarig för verksamhetsutövarens verksamhet.
39
1 Författningsförslag
1.1 Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)
Härigenom föreskrivs beträffande säkerhetsskyddslagen (2018:585)
dels att 2 kap. 6 och 7 §§, 5 kap. 4 § och rubriken närmast 5 kap.
4 § ska ha följande lydelse,
dels att det ska införas tre nya kapitel, 2 a kap., 4 a kap. och 4 b kap.
och fem nya paragrafer, 2 kap. 1 a, 6 a–6 c §§ och 5 kap. 6 § av följande lydelse och närmast 5 kap. 6 § en ny rubrik av följande lydelse,
dels att det ska införas nya ikraftträdande- och övergångs-
bestämmelser av följande lydelse.
Lydelse fr.o.m. den 1 april 2019 Föreslagen lydelse
2 kap.
1 a §
Den som bedriver säkerhetskänslig verksamhet ska utan dröjsmål anmäla detta till den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över verksamheten (tillsynsmyndigheten).
När den säkerhetskänsliga verksamheten upphört ska verksamhetsutövaren utan dröjsmål anmäla detta till tillsynsmyndigheten.
41
Författningsförslag SOU 2018:82
6 §
Statliga myndigheter, kommuner och landsting som avser att
genomföra en upphandling och
ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 1 § ska tillgodoses av leverantören om
1. det i upphandlingen före-
kommer säkerhetsskyddsklassi-
ficerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet.
Det som anges i första och
andra styckena gäller även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantörer.
Den som bedriver säkerhetskänslig verksamhet och som avser
att genomföra en upphandling,
ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part ska ingå ett säkerhetsskyddsavtal med den utomstående parten om förfarandet
1. innebär att den utomstående
parten kan få tillgång till säker-
hetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. i övrigt avser eller kan ge
den utomstående parten tillgång
till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Det som anges i första stycket gäller inte samverkan och sam-
arbeten mellan statliga myndigheter som avser något annat än en anskaffning av en vara, tjänst eller byggentreprenad.
Bestämmelserna om säkerhetsprövning i 3 kap. får tillämpas när ett säkerhetsskyddsavtal har ingåtts.
6 a §
I ett säkerhetsskyddsavtal ska det anges
1. hur kraven på säkerhetsskydd enligt 1 § ska tillgodoses av den utomstående parten, och
42
SOU 2018:82 Författningsförslag
2. att verksamhetsutövaren har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden.
6 b §
Den verksamhetsutövare som avses i 6 § ska kontrollera att den utomstående parten följer säkerhetsskyddsavtalet och se till att säkerhetsskyddsavtalet revideras om det krävs på grund av ändrade förhållanden.
6 c §
Vid en verksamhet som omfattas av lagen ska det finnas en säkerhetsskyddschef, om det inte är uppenbart obehövligt.
Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs i enlighet med vad som föreskrivs i denna lag och de föreskrifter som meddelats i anslutning till lagen. Detta ansvar får inte delegeras.
Säkerhetsskyddschefen ska vara direkt underställd den person som är ansvarig för verksamhetsutövarens verksamhet.
7 §
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om säkerhetsskyddsanalys samt anmälnings- och rapporteringsskyldighet enligt 1 §, säkerhetsskyddsåtgärder enligt 2–4 §§, säkerhetsskyddsklassificering enligt 5 § och säkerhetsskyddsavtal enligt 6 §.
43
Författningsförslag SOU 2018:82
Regeringen får meddela föreskrifter om undantag från skyldigheten att ingå säkerhetsskyddsavtal enligt 6 § samt i enskilda fall besluta om undantag från denna skyldighet.
2 a kap. Skyldigheter och befogenheter i samband med vissa förfaranden
Proportionalitet
1 §
Ett föreläggande eller förbud enligt detta kapitel eller en åtgärd enligt 12 § får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.
Upphandling och vissa andra förfaranden
2 §
Den som bedriver säkerhetskänslig verksamhet och avser att genomföra ett förfarande som innebär ett krav på säkerhetsskyddsavtal enligt 2 kap. 6 § ska, innan förfarandet inleds,
1. identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den utomstående parten kan få tillgång till och som kräver säkerhetsskydd (särskild säkerhetsbedömning), och
44
SOU 2018:82 Författningsförslag
2. med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt (lämplighetsprövning).
Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, får det inte inledas.
Den särskilda säkerhetsbedömningen och lämplighetsprövningen ska dokumenteras.
3 §
Innan en verksamhetsutövare inleder ett förfarande som innebär krav på säkerhetsskyddsavtal enligt 2 kap. 6 § ska verksamhetsutövaren samråda med den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över verksamhetsutövaren (tillsynsmyndigheten), om det planerade förfarandet
1. innebär att den utomstående parten kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler,
2. utgör en upplåtelse som kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet, eller
45
Författningsförslag SOU 2018:82
3. ger den utomstående parten tillgång till informationssystem utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.
Tillsynsmyndigheten får förelägga verksamhetsutövaren att vidta åtgärder enligt denna lag och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet. Tillsynsmyndigheten får även ansöka om tvångsåtgärder enligt 12 §.
4 §
Om förutsättningarna i 3 § första stycket är uppfyllda får även tillsynsmyndigheten ta initiativ till samråd. Bestämmelserna i andra stycket samma paragraf gäller då.
5 §
Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal enligt 2 kap. 6 § är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten förelägga verksamhetsutövaren och den utomstående parten i förfarandet att vidta de åtgärder som är
46
SOU 2018:82 Författningsförslag
nödvändiga för att förhindra skada för Sveriges säkerhet.
Föreläggandet får förenas med vite.
Tillsynsmyndigheten får även ansöka om tvångsåtgärder enligt 12 §.
Överlåtelse av säkerhetskänslig verksamhet och viss egendom
6 §
Det som anges i 2 § om skyldighet göra en särskild säkerhetsbedömning och lämplighetsprövning gäller också den som bedriver säkerhetskänslig verksamhet och som avser att överlåta
1. hela eller någon del av den säkerhetskänsliga verksamheten, eller
2. någon egendom i den säkerhetskänsliga verksamheten som har betydelse för Sveriges säkerhet eller ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Skyldigheterna enligt första stycket ska fullgöras innan ett förfarande för överlåtelse inleds. Om lämplighetsprövningen leder till bedömningen att den planerade överlåtelsen är olämplig från säkerhetsskyddssynpunkt, får den inte inledas.
47
Författningsförslag SOU 2018:82
7 §
Om lämplighetsprövningen enligt 6 § leder till bedömningen att överlåtelsen får ske, ska verksamhetsutövaren samråda med den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över den verksamhet som överlåtelsen gäller.
Tillsynsmyndigheten får förelägga verksamhetsutövaren att vidta åtgärder enligt denna lag och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras. Samrådet får även avslutas med ett föreläggande som innebär att överlåtelsen endast får genomföras på vissa angivna villkor, vid påföljd att överlåtelsen annars är ogiltig. Tillsynsmyndigheten får även ansöka om tvångsåtgärder enligt 12 §.
Det som anges i första och andra styckena om verksamhetsutövaren gäller även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet, dock inte aktier i aktiebolag som är publika enligt aktiebolagslagen (2005:551) .
48
SOU 2018:82 Författningsförslag
8 §
Om förutsättningarna i 7 § första eller tredje stycket är uppfyllda får även tillsynsmyndigheten ta initiativ till samråd. Bestämmelserna i andra och tredje styckena samma paragraf gäller då.
9 §
En överlåtelse är ogiltig om den har genomförts i strid med ett förbud enligt 7 § eller ett föreläggande enligt samma paragraf som meddelats vid påföljd av ogiltighet.
Om en överlåtelse har gjorts utan att samråd skett enligt 7 eller 8 § och förutsättningarna för ett förbud enligt 7 § är uppfyllda, får tillsynsmyndigheten i efterhand meddela ett sådant förbud. Överlåtelsen är då ogiltig.
10 §
Om en överlåtelse är ogiltig enligt 9 § får tillsynsmyndigheten meddela de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant föreläggande får förenas med vite.
11 §
En verksamhetsutövare som avser att överlåta hela eller delar av den säkerhetskänsliga verksamheten ska upplysa förvärvaren om att denna lag gäller för verksamheten. En sådan upplysning ska innehålla en påminnelse om de
49
Författningsförslag SOU 2018:82
skyldigheter som enligt 2 kap. 1 § gäller för den som är ansvarig för en säkerhetskänslig verksamhet.
Tvångsåtgärder
12 §
Om det behövs för att ändamålet med ett förbud eller föreläggande enligt detta kapitel inte ska motverkas får Stockholms tingsrätt besluta om sådana åtgärder som avses i 15 kap. 1 – 3 §§ rättegångsbalken . Frågan tas upp på yrkande av tillsynsmyndigheten. En åtgärd får beslutas även om föreläggandet eller förbudet inte fått laga kraft.
13 §
Vid behandlingen av en fråga enligt 12 § tillämpar rätten vad som gäller när en fråga om åtgärd enligt 15 kap. 1, 2 eller 3 § rättegångsbalken uppkommer i en rättegång.
Ett yrkande får inte bifallas utan att motparten har fått tillfälle att yttra sig. Om det är fara i dröjsmål får dock rätten omedelbart bevilja åtgärden till dess annat beslutas.
14 §
Tillsynsmyndigheten ska genast meddela rätten när syftet med en tvångsåtgärd enligt 12 § har uppnåtts, eller det av någon annan anledning inte längre finns skäl för
50
SOU 2018:82 Författningsförslag
åtgärden. Rätten ska omedelbart upphäva en åtgärd som har beviljats enligt 12 § om det inte längre finns skäl för åtgärden.
Rätten ska ompröva åtgärden med fyra veckors mellanrum.
Åtgärden får inte upphävas utan hörande av tillsynsmyndigheten.
Tillsynsmyndighetens handläggning av samrådsärenden
15 §
Vid tillsynsmyndighetens handläggning av ärenden om samråd, föreläggande och förbud enligt detta kapitel gäller inte 12 § förvaltningslagen (2017:900) .
Bemyndigande
16 §
Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om handläggningen av ärenden om samråd, föreläggande, förbud och tvångsåtgärder enligt 3, 4, 6, 7 och 12 §§.
4 a kap. Tillsyn
Tillsynsmyndighetens uppdrag
1 §
Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för.
51
Författningsförslag SOU 2018:82
Den myndighet som regeringen bestämmer får utöva tillsyn hos utomstående aktörer som har ingått säkerhetsskyddsavtal och utomstående verksamhetsutövare som aktören har anlitat inom ramen för säkerhetsskyddsavtalet.
Tillsynsmyndigheten ska utöva tillsyn över att denna lag och föreskrifter som har meddelats i anslutning till lagen följs.
Tillsynsmyndighetens undersökningsbefogenheter
2 §
Den som står under tillsyn ska på begäran tillhandahålla tillsynsmyndigheten den information som behövs för tillsynen.
3 §
Tillsynsmyndigheten har i den omfattning det behövs för tillsynen rätt att få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.
4 §
Tillsynsmyndigheten får förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 2 och 3 §§.
Ett sådant föreläggande får förenas med vite.
52
SOU 2018:82 Författningsförslag
5 §
Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 2 och 3 §§. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.
4 b kap. Ingripande och sanktioner
Åtgärdsförelägganden
1 §
Den myndighet som enligt 4 a kap. 1 § första stycket utövar tillsyn över verksamheten (tillsynsmyndigheten) får besluta de förelägganden som behövs för att de som omfattas av tillsyn enligt denna lag ska fullgöra skyldigheter enligt lagen eller föreskrifter som har meddelats i anslutning till den.
Ett föreläggande får förenas med vite.
Sanktionsavgift
2 §
Tillsynsmyndigheten ska ta ut en sanktionsavgift av den verksamhetsutövare som
1. underlåter att göra en anmälan enligt 2 kap. 1 a § eller enligt föreskrifter som har meddelats i anslutning till den paragrafen,
53
Författningsförslag SOU 2018:82
2. underlåter att utföra eller uppdatera en säkerhetsskyddsanalys enligt 2 kap. 1 § eller enligt föreskrifter som har meddelats i anslutning till den paragrafen,
3. underlåter att vidta säkerhetsskyddsåtgärder enligt 2 kap. 2–4 §§ eller enligt föreskrifter som har meddelats i anslutning till de paragraferna,
4. underlåter att säkerhetsskyddsklassificera uppgifter enligt 2 kap. 5 §,
5. underlåter att enligt 2 kap. 1 § eller föreskrifter som har meddelats i anslutning till den paragrafen kontrollera säkerhetsskyddet i den egna verksamheten eller att fullgöra anmälnings- eller rapporteringsplikt,
6. underlåter att ingå ett säkerhetsskyddsavtal enligt 2 kap. 6 § eller som ingår ett säkerhetsskyddsavtal som är bristfälligt i väsentlig mån,
7. inleder ett förfarande som avses i 2 a kap. 3 § eller genomför en överlåtelse som avses i 2 a kap. 7 § utan att fullgöra den samrådsskyldighet som följer av respektive paragraf,
8. inleder ett förfarande i strid med ett förbud som meddelats med stöd av 2 a kap. 3 eller 4 § eller genomför en överlåtelse i strid med ett förbud eller villkor som meddelats med stöd av 2 a kap. 7 eller 8 §,
54
SOU 2018:82 Författningsförslag
9. lämnar oriktiga uppgifter i samband med tillsyn eller samråd enligt de bestämmelser som anges i 7, eller
10. underlåter att enligt 2 kap. 6 c § utse en säkerhetsskyddschef.
Sanktionsavgift ska även tas ut av den som avses i 2 a kap. 7 § tredje stycket och som genomför en överlåtelse som avses där utan att fullgöra sin samrådsskyldighet eller i strid med ett förbud eller villkor som meddelats med stöd av andra stycket samma paragraf eller 8 §, eller som lämnar oriktiga uppgifter vid samrådet.
3 §
En sanktionsavgift ska bestämmas till lägst 5 000 kronor och högst 10 000 000 kronor.
4 §
När sanktionsavgiftens storlek bestäms ska särskild hänsyn tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, till om den avgiftsskyldige tidigare begått en överträdelse och till de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen.
5 §
En sanktionsavgift får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det
55
Författningsförslag SOU 2018:82
annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
6 §
En sanktionsavgift får inte beslutas om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
7 §
En sanktionsavgift får endast beslutas om den som avgiften ska tas ut av har fått tillfälle att yttra sig inom två år från det att överträdelsen ägde rum.
Ett beslut om sanktionsavgift ska delges.
8 §
En sanktionsavgift ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet.
Om sanktionsavgiften inte betalas inom den tid som anges i första stycket, ska myndigheten lämna den obetalda avgiften för indrivning. Bestämmelser om indrivning finns i lagen ( 1993:891 ) om indrivning av statliga fordringar m.m. Vid indrivning får verkställighet ske enligt utsökningsbalken .
En sanktionsavgift tillfaller staten.
56
SOU 2018:82 Författningsförslag
9 §
En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft.
5 kap.
Tillsyn Förordnande om att ett beslut ska gälla omedelbart
4 §
Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för.
Den myndighet som regeringen bestämmer får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal.
Tillsynsmyndigheten får bestämma att ett beslut om föreläggande enligt 2 a kap., 4 a kap. eller 4 b kap. denna lag ska gälla omedelbart.
Överklagande
6 §
Beslut om föreläggande enligt 2 a kap. 3, 4, 7 och 8 §§, 4 a kap. 4 § och 4 b kap. 1 § och sanktionsavgift enligt 4 b kap. 2 § överklagas till Förvaltningsrätten i Stockholm. Prövningstillstånd krävs vid överklagande till kammarrätten.
Beslut om förbud enligt 2 a kap. 3, 4, 7, 8 eller 9 § och föreläggande enligt 2 a kap. 5 och 10 §§ överklagas till regeringen.
57
Författningsförslag SOU 2018:82
När ett beslut som avses i första stycket överklagas är tillsynsmyndigheten motpart.
Andra beslut enligt denna lag får inte överklagas.
1. Denna lag träder i kraft den 1 januari 2021.
2. Ärenden om samråd som har inletts hos Säkerhetspolisen eller Försvarsmakten före ikraftträdandet handläggs enligt äldre föreskrifter.
3. Sanktionsavgift får beslutas endast för överträdelser som har ägt rum eller pågår efter ikraftträdandet.
58
SOU 2018:82 Författningsförslag
1.2 Förslag till förordning om ändring i säkerhetsskyddsförordningen (2018:658)
Regeringen föreskriver i fråga om säkerhetsskyddsförordningen (2018:658)
dels att 2 kap. 2 och 9 §§ ska upphöra att gälla,
dels att 2 kap. 1, 5, 6 och 10 §§, 7 kap. 1–3, 8 och 11 §§ ska ha
följande lydelse och rubriken till 7 kap. ska ha följande lydelse,
dels att det ska införas ett nytt kapitel, 8 kap. och två nya
paragrafer, 7 kap. 1 a och 3 a §§, av följande lydelse.
Lydelse fr.o.m. den 1 april 2019 Föreslagen lydelse
2 kap.
1 §
Den som bedriver säkerhetskänslig verksamhet ska enligt 2 kap. 1 § säkerhetsskyddslagen (2018:585) göra en säkerhetsskyddsanalys.
Säkerhetsskyddsanalysen innebär att säkerhetsskyddsklassificerade uppgifter och vad som i övrigt behöver ett säkerhetsskydd ska identifieras. Vilka delar av verksamheten som är skyddsvärda med hänsyn till Sveriges säkerhet samt vilka hot och sårbarheter som finns kopplade till detta skyddsvärde ska också identifieras. Säkerhetsskyddsanalysen ska även innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen ska
hållas uppdaterad.
Säkerhetsskyddsanalysen innebär att säkerhetsskyddsklassificerade uppgifter och vad som i övrigt behöver ett säkerhetsskydd ska identifieras. Vilka delar av verksamheten som är skyddsvärda med hänsyn till Sveriges säkerhet samt vilka hot och sårbarheter som finns kopplade till detta skyddsvärde ska också identifieras. Säkerhetsskyddsanalysen ska även innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen ska
uppdateras åtminstone årligen.
5 §
En enskild verksamhetsutövare En enskild verksamhetsutövare som avser att ingå ett säker- som avser att ingå ett säkerhetsskyddsavtal enligt 2 kap. 6 § hetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585)säkerhetsskyddslagen (2018:585) ska utan dröjsmål anmäla det till ska utan dröjsmål anmäla det till
59
Författningsförslag
den tillsynsmyndighet som anges i 7 kap. 1 § första stycket 3–
6. Anmälan syftar till att upp-
märksamma tillsynsmyndigheten på eventuellt behov av placering i säkerhetsklass och ska också utgöra underlag för myndighetens arbete med tillsyn över säkerhetsskyddet. I 5 kap. finns bestämmelser om beslut om placering i säkerhetsklass samt registerkontroll och särskild personutredning.
6 §
En statlig myndighet som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) ska vidta de åtgärder som anges i andra stycket, om
1. leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför myndighetens lokaler, eller
2. leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.
den tillsynsmyndighet som anges i 7 kap. 1 § första stycket 3–
13, om det inte föreligger samrådsskyldighet enligt 2 a kap. 3 eller 7 § samma lag. Anmälan syftar
till att uppmärksamma tillsynsmyndigheten på eventuellt behov av placering i säkerhetsklass och ska också utgöra underlag för myndighetens arbete med tillsyn över säkerhetsskyddet. I 5 kap. finns bestämmelser om beslut om placering i säkerhetsklass samt registerkontroll och särskild personutredning.
Så snart en fråga om föreläggande enligt 2 a kap. 5 eller 10 § säkerhetsskyddslagen (2018:585) eller förbud enligt 2 a kap. 9 § andra stycket samma lag aktualiseras vid tillsynsmyndigheten ska tillsynsmyndigheten underrätta den myndighet som är samordningsmyndighet enligt 7 kap. 1 a §.
Tillsynsmyndigheten ska, om det inte är uppenbart obehövligt, ge samordningsmyndigheten möjlighet att inom viss tid yttra sig innan tillsynsmyndigheten
1. avslutar ett samråd som avses i 2 a kap. 3 eller 4 § säkerhetsskyddslagen på något annat sätt än genom ett beslut om att förfarandet inte får genomföras, eller
2. avslutar ett samråd enligt 2 a kap. 7 eller 8 § nyss nämnda lag.
60
SOU 2018:82 Författningsförslag
En statlig myndighet som avser att genomföra en sådan upphandling ska innan förfarandet inleds
1. genom en särskild säkerhetsbedömning identifiera och dokumentera vilka säkerhetsskyddsklassificerade uppgifter eller säkerhetskänsliga informationssystem som leverantören kan få del av och som kräver säkerhetsskydd, och
2. samråda med den myndighet som enligt 7 kap. 1 § första stycket 1 eller 2 utövar tillsyn över den aktuella verksamheten.
Tillsynsmyndigheten får förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att myndigheten inte får genomföra upphandlingen.
Tillsynsmyndigheten får inte fatta beslut i frågan innan tiden för yttrande har gått ut.
Vad som sägs i första och andra styckena gäller inte för Säkerhetspolisen och Försvarsmakten i rollen som tillsynsmyndighet.
10 §
En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen om
1. en säkerhetsskyddsklassificerad uppgift kan ha röjts,
2. det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller
3. verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet.
61
Författningsförslag SOU 2018:82
Om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde enligt 7 kap. 1 § första stycket 1, ska anmälan göras också till Försvarsmakten.
En verksamhetsutövare som får kännedom om att någon annan än verksamhetsutövaren planerar att överlåta eller har överlåtit verksamheten eller sådan egendom i verksamheten som har betydelse för Sveriges säkerhet eller för ett för Sverige förpliktande åtagande om säkerhetsskydd ska skyndsamt anmäla förhållandet till tillsynsmyndigheten.
7 kap. Tillsyn, föreskrifter 7 kap. Tillsyn, föreskrifter ,
och rådgivning rådgivning och vägledning
1 §
Tillsyn över säkerhetsskyddet ska utövas av
1. Försvarsmakten när det gäller Fortifikationsverket och Försvarshögskolan samt de myndigheter som hör till Försvarsdepartementet,
2. Säkerhetspolisen när det 2. Säkerhetspolisen när det gäller övriga myndigheter, utom gäller domstolarna som inte hör
Justitiekanslern, samt kommuner till Försvarsdepartementet, Domoch landsting, stolsverket, Åklagarmyndigheten, Polismyndigheten, Ekobrottsmyndigheten, Kriminalvården, Kustbevakningen, Tullverket, Skatteverket, Försäkringskassan, Pensionsmyndigheten, Statens servicecenter, Riksgäldskontoret, Finansinspektionen, Statens fastighetsverk, Inspektionen för strategiska produkter, Myndigheten för samhällsskydd och beredskap, Lantmäteriet, Post- och telestyrelsen, Transport-
62
SOU 2018:82 Författningsförslag
3. Affärsverket svenska kraftnät när det gäller enskilda verksamhetsutövare som bedriver el-
försörjningsverksamhet,
4. Transportstyrelsen när det gäller enskilda verksamhetsutövare som bedriver flygtrafiktjänst
för civil luftfart, flygtrafikledningstjänst för militär luftfart och verksamhet som i övrigt är av betydelse för luftfartsskydd, hamnskydd och sjöfartsskydd,
5. Post- och telestyrelsen när det gäller enskilda verksamhetsutövare som bedriver verksamhet
som avser elektronisk kommu-
nikation och posttjänst, och
6. länsstyrelserna när det gäller
enskilda verksamhetsutövare som bedriver andra säkerhetskänsliga verksamheter än sådana som anges i 3–5.
styrelsen, Affärsverket svenska kraftnät, Strålsäkerhetsmyndigheten, Statens energimyndighet samt Länsstyrelserna i Stockholms, Skåne, Västra Götalands län och Norrbottens län,
3. Affärsverket svenska kraftnät när det gäller enskilda verksamhetsutövare inom området el-
försörjning samt för enskilda verksamhetsutövare inom området dammanläggningar,
4. Transportstyrelsen när det gäller Sjöfartsverket, Trafikverket,
Luftfartsverket och enskilda verk-
samhetsutövare inom områdena civil luftfart, vägtrafik, sjöfart och
järnväg,
5. Post- och telestyrelsen när det gäller enskilda verksamhetsutövare inom områdena elektronisk kommunikation och posttjänster,
6. Försvarets materielverk när det gäller enskilda verksamhetsutövare inom området försvarsmateriel,
7. Finansinspektionen när det gäller enskilda verksamhetsutövare inom området finansiella företag samt för motsvarande utländska företag som är etablerade i Sverige,
63
Författningsförslag SOU 2018:82
8. Statens energimyndighet när det gäller enskilda verksamhetsutövare inom områdena fjärrvärme-, naturgas-, olje- och drivmedelsförsörjning,
9. Strålsäkerhetsmyndigheten när det gäller enskilda verksamhetsutövare inom området kärnteknisk verksamhet, 10. Länsstyrelsen i Stockholms län när det gäller myndigheter, kommuner och landsting som hör till Stockholms, Uppsala, Södermanlands, Västmanlands, Värmlands, Gotlands, Örebro, Dalarnas eller Gävleborgs län samt enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsynsmyndighets tillsynsområde, utom Säkerhetspolisen, 11. Länsstyrelsen i Skåne län när det gäller myndigheter, kommuner och landsting som hör till Kronobergs, Blekinge, Kalmar eller Skåne län och enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsynsmyndighets tillsynsområde, 12. Länsstyrelsen i Västra Götalands län när det gäller myndigheter, kommuner och landsting som hör till Hallands, Jönköpings, Västra Götalands eller Östergötlands län och enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör
64
SOU 2018:82 Författningsförslag
De myndigheter som anges i första stycket får inom sitt tillsynsområde utöva tillsyn över säkerhetsskyddet hos leverantörer som omfattas av ett säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585). Sådan tillsyn får också avse en-
skilda verksamhetsutövare som leverantören har anlitat inom ra-
men för säkerhetsskyddsavtalet.
till någon annan tillsynsmyndighets tillsynsområde,
13. Länsstyrelsen i Norrbottens län när det gäller myndigheter, kommuner och landsting som hör till Västernorrlands, Jämtlands, Västerbottens eller Norrbottens län och enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsynsmyndighets tillsynsområde.
De myndigheter som anges i första stycket får inom sitt tillsynsområde utöva tillsyn över säkerhetsskyddet hos leverantörer och andra utomstående part-
er som omfattas av ett säkerhets-
skyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585). Sådan tillsyn får också avse verksamhetsutövare som den utomstå-
ende parten har anlitat inom ra-
men för säkerhetsskyddsavtalet.
Justitiekanslern är inte underkastad tillsyn.
Samordningsmyndigheternas uppdrag
1 a §
Säkerhetspolisen och Försvarsmakten ska vara samordningsmyndigheter. Respektive myndighet ska
1. följa upp, utvärdera och utveckla tillsynsarbetet inom respektive myndighets tillsynsområde,
65
Författningsförslag SOU 2018:82
2. i samråd utveckla och tillhandahålla metodstöd för tillsyn,
3. verka för erfarenhetsutbyte och
4. förmedla relevant hotinformation till tillsynsmyndigheterna.
2 §
Säkerhetspolisen och Försvarsmakten får utöva tillsyn inom de ansvarsområden som anges i 1 § första stycket 3–6 och andra stycket. När sådan tillsyn har utövats ska den som har ansvar för tillsynen enligt 1 § underrättas.
Säkerhetspolisen och Försvarsmakten får, om det finns sär-
skilda skäl, ta över tillsynsansvaret för en verksamhetsutövare inom
de ansvarsområden som anges i 1 § första stycket 3–13 och utom-
stående parter som avses i andra
stycket samma paragraf. När sådan tillsyn har utövats ska den som har ansvar för tillsynen enligt 1 § underrättas. När det inte
längre finns skäl för övertagandet ska tillsynsansvaret återgå till tillsynsmyndigheten.
Säkerhetspolisen och Försvarsmakten får även utöva tillsyn över leverantörer som har uppdrag för flera verksamhetsutövare om leverantörens samlade uppdrag är av stor betydelse för Sveriges säkerhet.
3 §
Om det vid tillsynen över säkerhetsskyddet konstateras allvarliga brister som trots påpekanden inte rättas till, ska Säkerhetspolisen eller Försvarsmakten anmäla förhållandet till regeringen. Det gäller dock inte brister hos sådana enskilda verksamhetsutövare där villkoren för säkerhetsskyddet angetts i ett säkerhetsskyddsavtal.
Om sådana brister i säkerhetsskyddet som anges i första stycket konstaterats av någon av de myndigheter som enligt 7 kap. 1 § första stycket 3–6 utövar tillsyn, ska myndigheten informera Säkerhetspolisen och Försvarsmakten.
Om sådana brister i säkerhetsskyddet som anges i första stycket konstaterats av någon av de myndigheter som enligt 7 kap. 1 § första stycket 3–13 utövar tillsyn, ska myndigheten informera Säkerhetspolisen och Försvarsmakten.
66
SOU 2018:82 Författningsförslag
3 a §
Tillsynsmyndigheten ska genom systematisk kartläggning identifiera de verksamheter inom tillsynsmyndighetens ansvarsområde som omfattas av säkerhetsskyddslagen . Kartläggningen ska genomföras regelbundet.
Tillsynsmyndigheten ska ha en aktuell förteckning över myndighetens tillsynsobjekt.
I fråga om Säkerhetspolisen och Försvarsmakten ska skyldigheten att kartlägga och hålla en förteckning över tillsynsobjekt enbart gälla verksamhetsutövare som myndigheten har övertagit tillsynen över enligt 2 §.
8 §
De myndigheter som enligt De myndigheter som enligt 1 § första stycket 3–6 utövar till- 1 § första stycket 3–13 utövar tillsyn över enskilda verksamhets- syn över enskilda verksamhetsutövare får inom sitt respektive utövare får inom sitt respektive ansvarsområde meddela före- ansvarsområde meddela föreskrifter som kompletterar sådana skrifter som kompletterar sådana föreskrifter som meddelats med föreskrifter som meddelats med stöd av 4–5 och 7 §§ av Säker- stöd av 4–5 och 7 §§ av Säkerhetspolisen, Försvarsmakten och hetspolisen, Försvarsmakten och Försvarets materielverk. Innan Försvarets materielverk. Innan en myndighet meddelar före- en myndighet meddelar föreskrifter ska myndigheten sam- skrifter ska myndigheten samråda med Säkerhetspolisen och råda med Säkerhetspolisen och Försvarsmakten. Försvarsmakten.
67
Författningsförslag SOU 2018:82
11 §
De myndigheter som utövar tillsyn över enskilda verksamhets-
utövare ska inom sina respektive
ansvarsområden lämna råd om säkerhetsskydd.
De myndigheter som utövar tillsyn ska inom sina respektive ansvarsområden lämna vägled-
ning om säkerhetsskydd.
8 kap. Övriga bestämmelser
1 §
Bestämmelsen i 3 § förvaltningslagen (2017:900) gäller inte vid Säkerhetspolisens handläggning av ärenden om samråd, förelägganden och förbud enligt säkerhetsskyddslagen (2018:585) . Detsamma gäller i fråga om tillsyn och sanktionsavgifter enligt samma lag.
Denna förordning träder i kraft den 1 januari 2021.
68
2 Utredningens uppdrag och arbete
2.1 Utredningens uppdrag
Det övergripande syftet med uppdraget är att i linje med slutsatserna i den nationella säkerhetsstrategin stärka förmågan att effektivt och samordnat förebygga och möta omedelbara hot mot och utmaningar för Sveriges säkerhet. Mer konkret har vi i uppdrag att i vissa delar komplettera de förslag som lämnades i betänkandet En ny säkerhets-
skyddslag (SOU 2015:25). Det är däremot inte vårt uppdrag att göra
en fullständig översyn av säkerhetsskyddsreglerna.
Vårt uppdrag kan delas upp i fyra huvudsakliga delar. Delarna beskrivs närmare i det följande. Vi ska i alla dessa delar lämna fullständiga författningsförslag. Det ingår dock inte i uppdraget att överväga ändringar i grundlag.
Hur kan man förebygga risker vid utkontraktering, upplåtelse och överlåtelse av säkerhetskänslig verksamhet?
Den första delen av uppdraget handlar utkontraktering, upplåtelse och överlåtelse av säkerhetskänslig verksamhet. Det är numera vanligt att myndigheter lägger ut vissa arbetsuppgifter på entreprenad till externa aktörer. Det kan exempelvis handla om driften av myndighetens it-system. Förfarandet kallas ofta för outsourcing eller utkontraktering. Det har i olika sammanhang, och inte minst i samband med den uppmärksammade händelsen rörande Transportstyrelsens utkontraktering av myndighetens it-drift, framkommit att det kan finnas risker förknippade med utkontraktering av säkerhetskänslig verksamhet. Det förekommer även att säkerhetskänslig verksamhet överlåts eller att man upplåter en viss del av en funktion
69
Utredningens uppdrag och arbete SOU 2018:82
eller verksamhet, eller viss egendom som i sig kan vara säkerhetskänslig.
Det finns i säkerhetsskyddsregleringen vissa bestämmelser om hur överlåtelse och utkontraktering av säkerhetskänslig verksamhet ska hanteras. Emellertid behöver frågorna enligt direktiven ses över ytterligare, inte minst mot bakgrund av att den nya säkerhetsskyddslagen har ett något bredare tillämpningsområde. I direktiven framhålls det bl.a. att säkerhetskänslig verksamhet även måste kunna skyddas vid upplåtelse av en viss funktion eller del av verksamhet, eller av viss egendom.
Vi ska mot denna bakgrund kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet. Med utgångspunkt i kartläggningen ska vi även föreslå olika förebyggande åtgärder. I direktiven tas införande av tillståndsprövning upp som en möjlig sådan åtgärd, men även andra lösningar kan tänkas. Det behöver inte handla om säkerhetsskyddsåtgärder i säkerhetsskyddslagens mening. Enligt direktiven bör begreppet säkerhetskänslig verksamhet i detta sammanhang ges en vid tolkning.
Vi behandlar de frågor som nu beskrivits i kapitel 6 och 7.
Hur bör ett sanktionssystem se ut?
Den andra frågan gäller införande av ett system med sanktioner för den som åsidosätter sitt säkerhetsskyddsarbete. Säkerhetsskyddsreglerna syftar till att säkerställa skydd för det allra mest skyddsvärda i samhället. Trots det finns det i dagsläget ingen möjlighet att utdela sanktioner om en verksamhetsutövare åsidosätter säkerhetsskyddsreglerna. Några förslag om sådana sanktioner lämnades inte heller i betänkandet En ny säkerhetsskyddslag. Detta kritiserades av flera remissinstanser. Avsaknaden av sanktioner kan enligt direktiven medföra en risk för mindre följsamhet hos de aktörer som omfattas av regleringen, vilket i sin tur kan vara skadligt för Sveriges säkerhet. Det sägs vidare att den risken inte minst gör sig gällande eftersom den nya säkerhetsskyddsregleringen i viss mån kommer att innebära hårdare krav på förebyggande åtgärder och på ett tydligare sätt
70
SOU 2018:82 Utredningens uppdrag och arbete
kommer att rikta sig mot enskilda aktörer. I direktiven uppmärksammas det också att sanktioner kan meddelas enligt de nya regler som meddelas med stöd av det s.k. NIS-direktivet
1
– dvs. lagen
(2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster – och att det vore djupt otillfredsställande om detsamma inte skulle gälla på säkerhetsskyddsområdet. Slutligen framhålls det att införandet av sanktioner skulle ligga i linje med de rekommendationer som Riksrevisionen lämnat i rapporten Informationssäker-
heten i den civila statsförvaltningen (RiR 2014:223).
Vi har mot denna bakgrund i uppdrag att analysera vilka brister i arbetet med säkerhetsskydd som bör beläggas med sanktioner. Vi ska även föreslå dels ett system med lämpliga sanktioner för att uppnå säkerhetsskyddslagstiftningens ändamål, dels vilken eller vilka myndigheter som ska få befogenhet att besluta om sanktioner.
Vi behandlar frågor om sanktioner i kapitel 9.
Hur bör en ändamålsenlig tillsyn se ut?
Den tredje frågan handlar om hur tillsynen av säkerhetsskyddet bör vara ordnad och vilka myndigheter som bör ansvara för den. Enligt både den gamla och den nya säkerhetsskyddslagen är Säkerhetspolisen och Försvarsmakten huvudansvariga för tillsyn av säkerhetsskyddet hos myndigheter och andra verksamheter som regleringen gäller för. Affärsverket svenska kraftnät, Transportstyrelsen, Postoch telestyrelsen respektive länsstyrelserna har ett särskilt ansvar för tillsyn av säkerhetsskyddet hos bolag, föreningar, stiftelser och andra enskilda.
Den tillsyn som hittills utövats i fråga om säkerhetsskydd har främst haft karaktär av rådgivning och stöd åt verksamheterna. Formerna för tillsynen avviker därmed i väsentliga avseenden från hur offentlig tillsyn normalt är ordnad. Detta förhållande uppmärksammades i betänkandet En ny säkerhetsskyddslag, men man stannade där för att inte föreslå någon ändring av tillsynens inriktning och genomförande. Däremot föreslog utredningen att Myndigheten för samhällsskydd och beredskap (MSB) ska ta över tillsynsansvaret för
1 Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.
71
Utredningens uppdrag och arbete SOU 2018:82
kommuner och landsting från Säkerhetspolisen och även länsstyrelsernas ansvar för enskilda verksamheter som inte hör till övriga tillsynsmyndigheters ansvarsområde. Förslaget rörande en ny tillsynsroll för MSB fick ett blandat mottagande av remissinstanserna. Vidare framförde flera remissinstanser att även andra myndigheter, däribland Finansinspektionen, bör få ett tillsynsansvar.
I direktiven framhålls det att ett införande av sanktioner på säkerhetsskyddsområdet kommer att göra det nödvändigt att tillsynen får en mer traditionell inriktning. Samtidigt anges att det även i fortsättningen kommer att finnas behov av rådgivning och stöd.
Mot denna bakgrund, och mot bakgrund av att det även vid genomförandet av NIS-direktivet måste analyseras hur tillsynen ska organiseras bland flera myndigheter, har vi i uppdrag att analysera hur tillsyn, rådgivning och stödverksamhet ska bedrivas och att föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagen ska bedrivas. Vi ska även analysera och föreslå vilka myndigheter som ska ha ansvar för tillsyn enligt regleringen. Enligt direktiven ska det huvudsakliga ansvaret för tillsynen även i fortsättningen vila på Säkerhetspolisen och Försvarsmakten inom respektive myndighets ansvarsområde.
Vi behandlar tillsynsfrågorna i kapitel 8.
Behövs det en utökad skyldighet att ingå säkerhetskyddsavtal?
Den fjärde och sista delen av uppdraget följer av tilläggsdirektiv som beslutades den 18 januari 2018. Uppdraget i denna del handlar om i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser med utomstående som berör den säkerhetskänsliga verksamheten.
Enligt regler i den nya säkerhetsskyddslagen ska statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader i vissa fall vara skyldiga att ingå ett säkerhetsskyddsavtal med leverantören. I avtalet ska det anges hur kraven på säkerhetsskydd ska tillgodoses. Skyldigheten att ingå säkerhetsskyddsavtal kommer att gälla även för enskilda verksamhetsutövare när de ingår avtal om varor, tjänster och byggentreprenader.
72
SOU 2018:82 Utredningens uppdrag och arbete
Kravet på säkerhetsskyddsavtal enligt de nya reglerna är begränsat till att i princip gälla för upphandlingssituationer. Enligt tilläggsdirektiven finns det därför skäl att utreda hur regleringen kan kompletteras. Vi har mot denna bakgrund fått i uppdrag att analysera och föreslå i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser som träffas med utomstående och som berör den säkerhetskänsliga verksamheten. Det anges i direktiven att uppdraget omfattar samarbetssituationer som inte träffas av kravet på säkerhetsskyddsavtal i nya säkerhetsskyddslagen. Uppdraget omfattar dock inte sådant samarbete som en myndighet bedriver i enlighet med en författning eller ett regeringsbeslut och som förutsätter ett utbyte av säkerhetskänsliga uppgifter och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för uppgifterna upprätthålls.
Konsekvensbeskrivningar
Utöver de fyra beskrivna uppdragen, har utredningen också i uppgift att bedöma och redovisa förslagens konsekvenser i olika avseenden. Detta följer av både kraven på konsekvensanalys i 14–16 §§kommittéförordningen (1998:1474) och utredningens direktiv. I direktiven anges bl.a. följande.
Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för enskilda och det allmänna, och i synnerhet för de myndigheter som är eller föreslås bli tillsynsmyndigheter enligt säkerhetsskyddslagen, samt konsekvenserna i övrigt av förslagen. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras.
Enligt direktiven ska även förhållandet till vissa bestämmelser i regeringsformen beaktas inom ramen för konsekvensbeskrivningen. I direktiven sägs följande. I 14 kap. 3 § regeringsformen anges att en inskränkning av den kommunala självstyrelsen inte bör gå utöver vad som är nödvändigt med hänsyn till ändamålen. Det innebär att en proportionalitetsprövning ska göras under lagstiftningsprocessen. Om något av förslagen i betänkandet påverkar det kommunala självstyret ska därför, utöver dess konsekvenser, också de särskilda avvägningar som lett fram till förslagen särskilt redovisas. En sådan
73
Utredningens uppdrag och arbete SOU 2018:82
bedömning ska också göras om något av förslagen i betänkandet kan komma att påverka enskilda. I 2 kap.15 och 17 §§regeringsformen regleras egendomsskyddet och näringsfriheten. Dessa rättigheter får endast begränsas i syfte att skydda angelägna allmänna intressen. Om utredaren överväger förslag som kan påverka egendomsskyddet eller näringsfriheten ska förslagen därför analyseras i förhållande till dessa bestämmelser.
Samråd och redovisning av uppdraget
Det åligger utredningen att hålla Regeringskansliet (Justitiedepartementet) informerat om det löpande arbetet. Vidare ska vi under arbetets gång ta hänsyn och förhålla oss till det fortsatta arbetet med en ny säkerhetsskyddslag och genomförandet av NIS-direktivet. Utredningen ska också hålla sig informerad om det arbete som bedrivs i utredningen om förbättrat skydd för totalförsvarsverksamhet (Fö 2017:31) och beakta annat relevant arbete som pågår inom Regeringskansliet och kommittéväsendet. Under genomförandet av uppdraget ska utredningen, i den utsträckning som bedöms lämplig, också samråda med och inhämta upplysningar från de myndigheter och andra organisationer som berörs av de aktuella frågorna.
2.2 Något om begreppen
I direktiven talas det om risker i samband med olika förfaranden, däribland vissa överlåtelser, utkontrakteringar och upplåtelser. I betänkandet använder vi i stället andra begrepp, som är bättre förenliga med den terminologi som brukar användas på säkerhets- och säkerhetsskyddsområdet. Vi använder bl.a. begreppet sårbarhet, med vilket vi menar brister i skyddet av en tillgång eller av en säkerhetsåtgärd som kan utnyttjas av ett eller flera hot. Ordet hot använder vi för att beskriva dels en aktörs kapacitet och avsikt att genomföra skadliga handlingar, dels händelser eller företeelser som medför fara för skada på något eller någon utan att det i sammanhanget förekommer aktörer med kapacitet och avsikt att orsaka skada.
74
SOU 2018:82 Utredningens uppdrag och arbete
2.3 Utredningens arbete
Vi har haft både möten och mer informella kontakter med utredningens experter och sakkunniga. Vi har sammanträffat med företrädare för branschorganisationen Säkerhets- och försvarsföretagen (SOFF) liksom med ett flertal företag i bl.a. försvarsbranschen. Vi har under arbetet också haft kontakt med företrädare för Telia, Teracom, Relacom, Vattenfall och Ericsson.
Under arbetets gång har vi haft avstämningar med företrädare för
• utredningen om förbättrat skydd för totalförsvarsverksamhet
(dir. 2017:31),
• utredningen om ett effektivt offentligt främjande av utländska investeringar (dir. 2018:3),
• nätkoncessionsutredningen (dir. 2018:6),
• utredningen om radiospektrumanvändning i framtiden
(dir. 2017:99), och
• utredningen om genomförande av ändringar i AV-direktivet och översyn av radio-_och_tv-lagen i vissa andra delar (dir. 2018:55).
I enlighet med direktiven har vi förhållit oss till arbetet med en ny säkerhetsskyddslag och genomförandet av NIS-direktivet.
Vi har genomfört studiebesök hos Nasjonal sikkerhetsmyndighet i Norge. Vi har också sammanträffat med Arbets- och näringsministeriet och Statsrådets kansli i Finland. Syftet med besöken har i huvudsak varit att få kunskap om hur de frågor som omfattas av vårt uppdrag har reglerats och hanterats i dessa länder.
Under utredningens arbete har vi träffat de myndigheter som vi föreslår ska bedriva tillsyn enligt säkerhetsskyddsregleringen (se avsnitt 8.7). Vi har även träffat Sveriges kommuner och landsting, Strålsäkerhetsmyndigheten, Statens servicecenter och Statens energimyndighet. För att stödja de föreslagna tillsynsmyndigheterna i arbetet med att uppskatta resursbehovet för att genomföra våra förslag har vi tagit initiativ till en utbildningsinsats som genomfördes av Försvarsmakten och Säkerhetspolisen i juni 2018.
75
3 Bakgrund och viss relevant reglering
3.1 Inledning
I det här kapitlet redogör vi för bakgrunden till vårt uppdrag (avsnitt 3.2). Vi ger också en kortfattad beskrivning av vissa förändringar i samhället och omvärlden och vad dessa innebär i fråga om förändrade krav på säkerhetsskydd (avsnitt 3.3). Därefter beskriver vi översiktligt den nya säkerhetsskyddsregleringen, som en bakgrund till våra överväganden (avsnitt 3.4). En mer detaljerad redogörelse för regleringen i relevanta delar ges i respektive övervägandekapitel. I avsnitt 3.5 redogör vi översiktligt för sekretessregleringen och i avsnitt 3.6 för vissa centrala regler om skydd för enskildas rättigheter av betydelse för vårt uppdrag, däribland regler om egendomsskydd, näringsfrihet och rätt till domstolsprövning.
3.2 Bakgrunden till vårt uppdrag
Bestämmelser om säkerhetsskydd finns i säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633), i det följande kallade gamla säkerhetsskyddslagenrespektive gamla säkerhets-
skyddsförordningen. Säkerhetsskydd handlar enligt gamla säkerhets-
skyddslagen om förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. Kraven på säkerhetsskyddet har förändrats genom utvecklingen i omvärlden, ökningen av säkerhetskänslig verksamhet som bedrivs i enskild regi och en ökad internationell samverkan. Mot bakgrund av de förändrade kraven har en ny säkerhetsskyddslag arbetats fram. Den nya säkerhetsskyddslagen (2018:585) och den nya säkerhetsskyddsför-
77
Bakgrund och viss relevant reglering SOU 2018:82
ordningen (2018:658) träder i kraft den 1 april 2019. De nya författningarna kallas i det följande för nya säkerhetsskyddslagen respektive
Det nya regelverket bygger till stora delar på förslag som lades fram i betänkandet En ny säkerhetsskyddslag (SOU 2015:25). Regelverket innebär en förstärkning av säkerhetsskyddet i olika avseenden. Bland annat förbättras skyddet av exempelvis samhällsviktiga informationssystem. Vidare förtydligas i nya säkerhetsskyddslagen att säkerhetsskyddsbestämmelserna inte bara gäller i allmän utan också i enskilt bedriven verksamhet, såsom bolag och föreningar. Den nya lagen tydliggör skyldigheterna för den som bedriver säkerhetskänslig verksamhet och vikten av att verksamhetsutövarna genomför säkerhetsskyddsanalyser för sina verksamheter.
I samband med beredningen av betänkandet En ny säkerhets-
skyddslag har det uppmärksammats att det kan finnas ett behov av
även andra åtgärder än de som föreslogs i betänkandet. Bland annat har det genom påpekanden från Säkerhetspolisen och händelser i närtid framkommit att det kan finnas behov av ytterligare åtgärder för att förebygga risker i samband med utkontraktering, upplåtelse och överlåtelse av säkerhetskänslig verksamhet. Vi har därför i uppdrag att kartlägga och föreslå olika förebyggande åtgärder som motverkar att uppgifter som gäller Sveriges säkerhet eller säkerhetskänslig verksamhet utsätts för risker i samband med sådan utkontraktering, upplåtelse och överlåtelse. Viss reglering finns redan. Bland annat har regeringen, i avvaktan på våra förslag, infört vissa regler i säkerhetsskyddsförordningen som innebär skärpta krav på statliga myndigheter i samband med bl.a. utkontraktering i vissa fall (16 a § gamla säkerhetsskyddsförordningen och 2 kap. 6 § nya säkerhetsskyddsförordningen).
Den som avser att ingå ett avtal om varor, tjänster eller byggentreprenader är enligt bestämmelser i nya säkerhetsskyddslagen i vissa fall vara skyldig att ingå ett säkerhetsskyddsavtal med leverantören. I avtalet regleras hur kraven på säkerhetsskydd ska tillgodoses av leverantören. Syftet med kravet på säkerhetsskyddsavtal är att de intressen som säkerhetsskyddslagen slår vakt om ska vara lika starkt oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Kravet på säkerhetsskyddsavtal är dock begränsat till vissa situationer. Vi har därför i uppdrag att analysera och föreslå i vilken
78
SOU 2018:82 Bakgrund och viss relevant reglering
utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser som träffas med utomstående och som berör den säkerhetskänsliga verksamheten.
Det finns varken i den gamla eller nya regleringen några sanktioner som kan användas mot den som åsidosätter sina säkerhetsskyddsåtaganden. Några förslag om sanktioner lämnades inte heller i 2015 års betänkande. Regeringen har, bl.a. mot bakgrund av att flera remissinstanser kritiserade avsaknaden av sådana förslag, bedömt att det finns ett behov av att utreda hur ett system med sanktioner i säkerhetsskyddsregleringen skulle kunna utformas. Vi har därför i uppdrag att lämna förslag till ett sådant sanktionssystem.
Slutligen har vi i uppdrag att föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddsregleringen ska vara utformad. Tillsynen har hittills mest utövats genom stöd- och rådgivningsverksamhet. Detta skiljer sig från hur tillsynsverksamhet brukar vara ordnad. Om sanktioner införs i regleringen blir det dock nödvändigt med en tillsyn i egentlig mening. Vi ska därför föreslå hur en ändamålsenlig tillsyn ska bedrivas och vilka myndigheter som ska ha ansvaret för den.
3.3 Betydelsen av samhällsutvecklingen och ett förändrat omvärldsläge
I det följande beskriver vi kortfattat de förändringar i omvärlden och det svenska samhället som har förändrat förutsättningarna för säkerhetsskyddet under de senaste decennierna. Framställningen är i allt väsentligt hämtad från prop. 2017/18:89 (s. 33 och 34).
Hoten mot rikets säkerhet har förändrats sedan gamla säkerhetsskyddslagen trädde i kraft för mer än 20 år sedan. Främmande staters underrättelseverksamhet har de senaste decennierna breddats mot forskning och utveckling inom civila områden samt mot politiska frågor och information som rör samhällsviktiga system. Itangrepp i olika former betraktas numera som ett av de allvarligaste hoten. Samtidigt kvarstår underrättelsehoten mot militär verksamhet och mot information av betydelse för försvaret av Sverige.
79
Bakgrund och viss relevant reglering SOU 2018:82
Dagens säkerhetspolitiska hot, eller hot som är av sådan karaktär att de kan få säkerhetspolitiska konsekvenser, är ofta gränsöverskridande, icke-militära och utgår inte sällan från icke-statliga aktörer. Exempel på sådana hot är internationell terrorism och andra typer av grov gränsöverskridande brottslighet, informations- och cybersäkerhetshot, spridning av massförstörelsevapen samt framställning och transport av vapen, komponenter och teknologi.
Samhällsutvecklingen innebär nya krav på och förutsättningar för säkerhetsskyddet. Ett exempel är digitaliseringen, som har skett i en rasande takt under de senaste decennierna. Informationstekniken genomsyrar i dag i stort sett alla aspekter av samhällsviktiga verksamheter. En rad verksamheter, både hos det allmänna och inom näringslivet, är helt beroende av digitala system för bl.a. styrning, reglering och övervakning. En storskalig it-incident bedöms i dag kunna få allvarliga konsekvenser för samhällsviktig verksamhet och kritisk infrastruktur.
En annan viktig förändring är den omfattande avregleringen och konkurrensutsättningen av samhällsviktig verksamhet. Med tiden har allt mer samhällsviktig verksamhet kommit att hamna utanför gamla säkerhetsskyddslagens direkta tillämpningsområde. En stor del av de verksamheter som är viktiga för det svenska samhällets funktionalitet står i dag inte under direkt statligt inflytande. Sådana verksamheter bedrivs och förvaltas i stället i stor utsträckning av enskilda aktörer. Även utländskt ägande eller inflytande är numera en realitet inom samhällsviktiga verksamheter. Utkontraktering av verksamhet ger upphov till särskilda utmaningar avseende säkerhetsskyddet. Detta illustreras inte minst av de händelser vid Transportstyrelsen som fick stor uppmärksamhet under 2017 och där utkontraktering av myndighetens it-drift skett utan att lagens krav på säkerhetsprövning var uppfyllda.
Globaliseringen och det ökade internationella samarbetet har medfört att gränserna för vad som är att hänföra till rikets inre respektive yttre säkerhet har ändrats. Sverige deltar i stor omfattning i internationella samarbeten för fred och säkerhet där känsliga uppgifter utbyts med andra länder och mellanfolkliga organisationer. Den ökade samverkan med andra länder har inneburit ett växande behov av att anpassa säkerhetsskyddet till åtaganden som följer av folkrättsliga förpliktelser.
80
SOU 2018:82 Bakgrund och viss relevant reglering
Både det nya regelverket om säkerhetsskydd och vårt uppdrag bör förstås mot bakgrund av den utveckling som beskrivits i det föregående. Det bör dock framhållas att säkerhetsskyddslagen enbart tar sikte på verksamhet som är av betydelse för Sveriges säkerhet eller den som bedriver verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Det räcker alltså inte att verksamheten är samhällsviktig för att den ska anses vara av betydelse för Sveriges säkerhet. Avgörande för om samhällsviktig verksamhet också kan anses röra Sveriges säkerhet, och därmed omfattas av säkerhetsskyddslagens tillämpningsområde, är i stället att en antagonistisk handling mot verksamheten skulle kunna medföra skadekonsekvenser på nationell nivå (prop. 2017/18:89 s. 44). En utförlig redogörelse för de nya hoten och de huvudsakliga förändringsfaktorerna finns i SOU 2015:25 (s. 221–242). Vi återkommer också till frågan i avsnitt 6.4.1.
3.4 En översiktlig beskrivning av säkerhetsskyddsreglerna
3.4.1 Avsnittets innehåll
Eftersom det har antagits ett nytt regelverk om säkerhetsskydd som kommer att träda i kraft i början av 2019 kommer vi inte att här fördjupa oss i det hittills gällande regelverket, annat än om det är särskilt påkallat. Redogörelsen i det här avsnittet gäller alltså nya säkerhetsskyddslagen och nya säkerhetsskyddsförordningen, om det inte sägs något annat. Beskrivningen bygger i allt väsentligt på framställningen i prop. 2017/18:89.
3.4.2 Vad är säkerhetsskydd?
Skydd av säkerhetskänslig verksamhet
Innebörden av säkerhetsskydd framgår av 1 kap. 2 § nya säkerhetsskyddslagen. Med säkerhetsskydd avses för det första skydd av
säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott
och andra brott som kan hota verksamheten. En verksamhet är säkerhetskänslig om den är av betydelse för Sveriges säkerhet eller om den
81
Bakgrund och viss relevant reglering SOU 2018:82
omfattas av ett internationellt åtagande om säkerhetsskydd som är förpliktande för Sverige.
Uttrycket ”Sveriges säkerhet” tar sikte på förhållanden av grundläggande betydelse för Sverige. Det kan handla om både militär och civil verksamhet, så länge verksamheten har en sådan betydelse. Förutom militär verksamhet kan det exempelvis gälla viktig civil infrastruktur såsom flygplatser, energianläggningar och förmedlingsstationer för telekommunikation.
Även verksamhet som inte i och för sig har betydelse för Sveriges säkerhet kan vara säkerhetskänslig, om den omfattas av ett bindande internationellt säkerhetsskyddsåtagande. Med det avses uppgifter som är säkerhetskänsliga för andra stater och mellanfolkliga organisationer och som Sverige genom säkerhetsskyddsöverenskommelser har åtagit sig att skydda. Sådana överenskommelser gäller i dag i förhållande till ett trettiotal stater och vissa mellanfolkliga organisationer, däribland EU och Nato. Bestämmelsen ger även stöd för säkerhetsskyddsåtgärder som följer av folkrättsliga förpliktelser i övrigt, bl.a. EU-rättsliga bestämmelser inom t.ex. luftfartsområdet.
Skydd av säkerhetsskyddsklassificerade uppgifter
Med säkerhetsskydd avses för det andra skydd av säkerhetsskydds-
klassificerade uppgifter. Till skillnad från skyddet av säkerhetskänslig
verksamhet gäller skyddet för uppgifter inte bara mot brott, utan också mot andra händelser. Det kan exempelvis handla om att uppgifterna på grund av misstag, bristande rutiner eller olyckshändelse sprids, förstörs eller förvanskas utan att det är fråga om ett brott. Säkerhetsskyddet innebär då t.ex. att handlingar ska förvaras på ett betryggande sätt och att spridningen av uppgifter i handlingarna så långt det är möjligt ska begränsas till personer som behöver dem för sin tjänsteutövning. Med säkerhetsskyddsklassificerade uppgifter avses dels uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400, OSL), dels uppgifter som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig.
Andra ledet i bestämmelsen tar sikte på verksamheter som inte omfattas av bestämmelserna i OSL, t.ex. företag och andra enskilda aktörer. Av bestämmelsen följer att även uppgifter som finns hos
82
SOU 2018:82 Bakgrund och viss relevant reglering
sådana aktörer är säkerhetsskyddsklassificerade fastän OSL inte gäller för aktören, förutsatt uppgiften skulle ha omfattats av sekretess om OSL hade varit tillämplig. Det är alltså tillräckligt att uppgiften till sin natur är sådan att den materiellt sett kan hänföras till en bestämmelse om sekretess med hänsyn till antingen Sveriges säkerhet eller Sveriges förbindelser med en annan stat eller mellanfolklig organisation.
3.4.3 Vem gäller reglerna för?
Den som till någon del bedriver sådan säkerhetskänslig verksamhet som vi beskrev under förra rubriken är skyldig att bedriva ett säkerhetsskyddsarbete. Uttrycket ”till någon del” utvisar att inte hela verksamheten behöver vara sådan att säkerhetsskyddslagen gäller. Utgångspunkten för säkerhetsskyddsarbetet är en säkerhetsskydds-
analys. Verksamhetsutövaren ska genom en sådan analys utreda vilket
behov som finns av säkerhetsskydd. Utifrån analysen ska verksamhetsutövaren planera ett väl avvägt och balanserat säkerhetsskydd där olika säkerhetsskyddsåtgärder samverkar med varandra. Vi skriver om de olika säkerhetsskyddsåtgärderna i avsnitt 3.4.5.
Det som avgör behovet av säkerhetsskydd i verksamheten är bl.a. vilka hot, risker och sårbarheter som kan finnas i verksamheten. Resultatet av säkerhetsskyddsanalysen ska dokumenteras. Verksamhetsutövaren ska även se till att det finns intern kontroll av säkerhetsskyddet.
3.4.4 Säkerhetsskyddsklassificering
Ett viktigt begrepp i säkerhetsskyddslagen är säkerhetsskyddsklassi-
ficering. Vad som avses med säkerhetsskyddsklassificerad uppgift
har utvecklats i avsnitt 3.4.2. Uppgifter som är säkerhetsskyddsklassificerade ska numera delas in i någon av fyra säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Indelningen i olika klasser är en nyhet i den nya säkerhetsskyddslagen och återfinns i 2 kap. 5 § lagen.
Den högsta klassen är kvalificerat hemlig. En uppgift hör till denna nivå om skadan för Sveriges säkerhet vid ett röjande kan bli synnerligen allvarlig. Den näst högsta klassen är hemlig. En uppgift
83
Bakgrund och viss relevant reglering SOU 2018:82
hör till denna nivå om skadan för Sveriges säkerhet kan bli allvarlig. De två lägre nivåerna är konfidentiell och därefter begränsat hemlig. Uppgiften hör till nivån konfidentiell om den potentiella skadan för Sveriges säkerhet bedöms som inte obetydlig. Om den potentiella skadan bedöms som endast ringa är uppgiften begränsat hemlig.
Om en viss handling innehåller skyddsvärd information på olika nivåer ska den uppgift som kan orsaka störst skada om den röjs styra valet av säkerhetsskyddsklass. Regleringen är teknikneutral och det spelar därför ingen roll om uppgiften finns i fysisk eller digital form.
I förordning eller myndighetsföreskrifter konkretiseras det vilka specifika åtgärder som ska vidtas för att skydda de säkerhetsskyddsklassificerade uppgifterna.
Som har framgått i avsnitt 3.4.2 omfattar säkerhetsskyddsregleringen även uppgifter som ska skyddas på grund av internationella säkerhetsskyddsåtaganden. Även sådana uppgifter ska nivåindelas på motsvarande sätt som uppgifter som ska skyddas på grund av risker för Sveriges säkerhet. I regel är uppgifter som ska skyddas enligt internationella åtaganden redan klassificerade av den stat eller mellanfolkliga organisation som uppgifterna kommer ifrån. I ett sådant fall ska klassificeringen godtas. Men det kan också vara så att en svensk myndighet upprättar handlingar som omfattas av ett internationellt säkerhetsskyddsåtagande. Klassificeringen ska då göras utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till en annan stat eller en mellanfolklig organisation.
3.4.5 De olika säkerhetsskyddsåtgärderna
Det finns tre olika typer av säkerhetsskyddsåtgärder, nämligen informationssäkerhet, fysisk säkerhet och personalsäkerhet. Åtgärderna, som beskrivs i 2 kap. 2–4 §§ nya säkerhetsskyddslagen, har delvis olika syften.
Informationssäkerhet handlar till att börja med om skydd för säker-
hetsskyddsklassificerade uppgifter. Säkerhetsskyddsåtgärderna ska förebygga att sådana uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Det kan t.ex. vara fråga om att anpassa ett informationssystems säkerhetsfunktioner så att uppgifterna får ett
84
SOU 2018:82 Bakgrund och viss relevant reglering
tillräckligt skydd. Vidare handlar informationssäkerhet om att förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som avser säkerhetskänslig verksamhet. Det handlar då framför allt om skyddsåtgärder för att tillgodose behov av tillgänglighet och riktighet i fråga om uppgifter och informationssystem som inte utgör eller innehåller säkerhetsskyddsklassificerade uppgifter, men som har avgörande betydelse för viktiga samhällsfunktioner. Det kan t.ex. vara fråga om skydd för uppgifter och informationssystem som har en avgörande betydelse för styrning, reglering och övervakning av el- och vattenförsörjning och digital infrastruktur eller sådana sammanställningar av uppgifter, t.ex. folkbokföringsregistret, som är av grundläggande betydelse för ett fungerande samhälle. Med uppgifter och informationssystem avses i detta sammanhang både själva uppgifterna och de tekniska system som används för att i olika avseenden elektroniskt behandla uppgifter.
Fysisk säkerhet handlar bl.a. om att förebygga att obehöriga per-
soner får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs. Åtgärden kan också avse skydd mot sådan skadlig inverkan som orsakas utan ett obehörigt tillträde. Det skulle exempelvis kunna röra sig om att en kabel för samhällsviktig elektronisk kommunikation skyddas genom ett robust hölje eller larm eller åtgärder för att skydda ett objekt mot obemannade luftfartyg, s.k. drönare.
Den tredje och sista säkerhetsskyddsåtgärden är personalsäkerhet. Personalsäkerhet handlar bl.a. om att förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i vissa verksamheter. Det som avses är verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller en verksamhet som är säkerhetskänslig av någon annan anledning, t.ex. deltagande i verksamhet vid ett skyddsobjekt enligt skyddslagen (2010:305). En nyhet i nya säkerhetsskyddslagen är att personalsäkerhet också inkluderar en skyldighet för verksamhetsutövaren att säkerställa att de som deltar i säkerhetskänslig verksamhet har en tillräcklig kunskap om säkerhetsskydd. En viktig del av säkerhetsskyddet är alltså att det görs utbildnings- och informationsinsatser för att höja kunskapen om verksamhetens säkerhetsskydd och för att öka förståelsen och acceptansen för det.
85
Bakgrund och viss relevant reglering SOU 2018:82
Säkerhetsskyddsåtgärder kan potentiellt vara kostsamma och medföra en risk för negativ påverkan på en verksamhets funktionalitet, effektivitet och tillgänglighet. Åtgärderna kan även vara mycket ingripande för enskilda. Som ett exempel kan nämnas inhämtande av känsliga uppgifter om en enskilds personliga förhållanden inom ramen för personalsäkerhetsåtgärder. Med hänsyn till detta finns det i nya säkerhetsskyddslagen ett uttryckligt krav på att säkerhetsskyddsåtgärderna så långt det är möjligt ska utformas så att de inte medför skada eller annan olägenhet för andra allmänna eller enskilda intressen (2 kap. 1 § fjärde stycket).
3.4.6 Säkerhetsskyddsavtal
En grundtanke i säkerhetsskyddsregleringen är att de intressen som reglerna slår vakt om ska ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Denna tanke kommer bl.a. till uttryck i regler som innebär att verksamhetsutövare i vissa fall är skyldiga att ingå ett säkerhetsskyddsavtal med en leverantör (2 kap. 6 § nya säkerhetsskyddslagen). Ett säkerhetsskyddsavtal är ett avtal där det klargörs för en leverantör hur denne ska tillgodose kraven på säkerhetsskydd, när sådana krav gäller.
För statliga myndigheter, kommuner och landsting gäller skyldigheten att ingå säkerhetskyddssavtal med leverantören när verksamhetsutövaren avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenad (2 kap. 6 § första stycket nya säkerhetsskyddslagen). Förutsättningen för att det ska gälla en skyldighet att teckna säkerhetsskyddsavtal är
1. att det i upphandlingen förekommer säkerhetsskyddsklassificerade
uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. att upphandlingen i övrigt avser eller ger leverantören tillgång till
säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
En motsvarande skyldighet att teckna säkerhetsskyddsavtal gäller för enskilda verksamhetsutövare som ingår avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer (andra stycket i den nyss nämnda bestämmelsen).
86
SOU 2018:82 Bakgrund och viss relevant reglering
Reglerna om säkerhetsskyddsavtal förutsätter att verksamhetsutövaren utreder behovet av säkerhetsskyddsåtgärder så att dessa kan preciseras i avtalet. Det är viktigt att framhålla att säkerhetsskyddet inte får göras mindre långtgående än vad som följer av lagen. En leverantör som omfattas av säkerhetsskyddslagen kan alltså inte genom ett säkerhetsskyddsavtal åläggas mindre omfattande säkerhetsskyddsåtgärder än som redan gäller för verksamheten enligt lagen. Däremot kan ett säkerhetsskyddsavtal fylla funktionen att det preciserar säkerhetsskyddet hos leverantören för att passa den aktuella upphandlingen.
Skyldigheten att se till att det ingås ett säkerhetsskyddsavtal gäller även om leverantören har sin juridiska hemvist i ett annat land.
Den som har ingått ett säkerhetsskyddsavtal med en leverantör är skyldig att kontrollera att leverantören följer avtalet. Kontrollskyldigheten gäller för såväl offentliga som enskilda verksamhetsutövare och innebär en skyldighet att se till att avtalsvillkoren följs.
Den 1 april 2018 skärptes kraven på statliga myndigheter som avser att inleda en säkerhetsskyddad upphandling. Numera gäller enligt 16 a § gamla säkerhetsskyddsförordningen att en statlig myndighet som avser att inleda en upphandling som innebär krav på säkerhetsskyddsavtal i vissa fall måste använda ett särskilt förfarande. Motsvarande regler finns även i 2 kap. 6 § nya säkerhetsskyddsförordningen. Innebörden av bestämmelserna utvecklas närmare i avsnitt 6.3.2.
3.4.7 Bemyndigande
Enligt 2 kap. 7 § nya säkerhetsskyddslagen får regeringen, eller den myndighet som regeringen bestämmer, meddela föreskrifter om anmälnings- och rapporteringsskyldighet och även i övrigt vad som krävs för att uppfylla bestämmelserna i 2 kap. nya säkerhetsskyddslagen. Föreskrifter om anmälnings- och rapporteringsskyldighet kan t.ex. avse en skyldighet att anmäla röjande av en säkerhetsskyddsklassificerad uppgift, allvarligt säkerhetshotande verksamhet, brister i säkerhetsskyddet och ingående av säkerhetsskyddsavtal samt rapportering av it-incidenter. Andra slags föreskrifter som kan meddelas med stöd av bemyndigandet är t.ex. föreskrifter om vilka närmare åtgärder en verksamhetsutövare ska vidta för att identifiera och
87
Bakgrund och viss relevant reglering SOU 2018:82
värdera skyddsvärden inom ramen för arbetet med sin säkerhetsskyddsanalys, samt hur man ska uppfylla kraven på säkerhetsskyddsklassificering, informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Regeringen eller den myndighet som regeringen bestämmer kan vidare med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av nya säkerhetsskyddslagen.
3.4.8 Säkerhetsprövning
Krav på säkerhetsprövning vid deltagande i säkerhetskänslig verksamhet
I 3 kap. nya säkerhetsskyddslagen finns det bestämmelser om säkerhetsprövning. Kravet på säkerhetsprövning gäller den som genom en anställning eller på något annat sätt ska delta i säkerhetskänslig verksamhet. Vissa kategorier, däribland statsråd och riksdagsledamöter, är undantagna från kravet. Säkerhetsprövningen syftar till att klarlägga om en person kan antas vara lojal mot de intressen som skyddas i säkerhetsskyddslagen och i övrigt pålitlig från säkerhetssynpunkt. Vid säkerhetsprövningen sker det normalt en s.k. grundutredning, där man hämtar in uppgifter om personliga förhållanden som har betydelse för säkerhetsprövningen. Det kan handla om kontroll av betyg, intyg och referenser samt att man hämtar in uppgifter från den som ska säkerhetsprövas, t.ex. genom en intervju eller ett frågeformulär. Om anställningen har placerats i säkerhetsklass (se vidare nedan) ska det också göras en registerkontroll. Vilka uppgifter som får lämnas ut beror på vilken säkerhetsklass det gäller. Om det finns särskilda skäl får man göra en registerkontroll även om en anställning eller ett annat deltagande i säkerhetskänslig verksamhet inte har placerats i säkerhetsklass. I vissa fall ska det vid registerkontroll göras en särskild personutredning. En sådan utredning ska omfatta en undersökning av den kontrollerade personens ekonomiska förhållanden och i övrigt ha den omfattning som behövs.
Säkerhetsprövningen ska följas upp under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår. Kravet på uppdatering innebär bl.a. att uppgifterna i grundutredningen ska hållas uppdaterade.
88
SOU 2018:82 Bakgrund och viss relevant reglering
Bedömningen av säkerhetsprövningen görs normalt av den som beslutar om anställning eller annat deltagande i den säkerhetskänsliga verksamheten. Om en myndighet har det bestämmande inflytandet över den prövades lämplighet att delta i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare, är det i stället myndigheten som gör den slutliga bedömningen.
Placering i säkerhetsklass
I vissa fall ska en anställning eller ett annat deltagande i verksamheten placeras i säkerhetsklass enligt särskilda regler i 3 kap. 6–10 §§ nya säkerhetsskyddslagen. Detta får ske endast om behovet av säkerhetsskydd inte kan tillgodoses på något annat sätt. Det finns tre säkerhetsklasser där säkerhetsklass 1 är den högsta och alltså avser de mest känsliga anställningarna m.m.
Vissa anställningar som är placerade i säkerhetsklass 1 eller 2 får som huvudregel endast innehas av den som är svensk medborgare. Förutom när det gäller Riksdagens förvaltningsområde beslutar regeringen om placeringen i säkerhetsklass. Regeringen får även delegera beslutanderätten till myndigheter och andra genom föreskrifter.
3.4.9 Internationell säkerhetsskyddssamverkan och säkerhetsintyg
Av de internationella överenskommelser som Sverige har ingått framgår att en behörig svensk myndighet ska kunna utfärda säkerhetsintyg för personer och leverantörer på begäran av en stat eller mellanfolklig organisation. Intyget syftar till att visa att en behörig myndighet i ett land har genomfört en utredning och i denna kommit fram till att en person eller en leverantör kan anses pålitlig att hantera säkerhetsskyddsklassificerade uppgifter upp till en viss nivå. Bestämmelser om internationell säkerhetsskyddssamverkan och säkerhetsintyg finns i 4 kap. nya säkerhetsskyddslagen. Det finns inte här anledning att gå närmare in på vad dessa innebär.
89
Bakgrund och viss relevant reglering SOU 2018:82
3.4.10 Tystnadsplikt
Den som har fått del av uppgifter som förekommer i en angelägenhet som gäller säkerhetsprövning har tystnadsplikt om uppgifterna. I det allmännas verksamhet gäller i stället bestämmelserna i OSL. Motsvarande bestämmelser om tystnadsplikt gäller också för den som på grund av en anställning eller på annat liknande sätt deltar eller har deltagit i en säkerhetskänslig verksamhet. Han eller hon får inte obehörigen röja eller utnyttja säkerhetsskyddsklassificerade uppgifter (5 kap. 1 och 2 §§ nya säkerhetsskyddslagen).
3.4.11 Tillsyn
I 5 kap. 4 § nya säkerhetsskyddslagen finns det vissa bestämmelser om tillsyn av säkerhetsskyddet. I första stycket anges att den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för. I andra stycket anges att den myndighet som regeringen bestämmer får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal. Utgångspunkten är, som tidigare framgått, att det är den som har uppställt krav på säkerhetsskydd i ett säkerhetsskyddsavtal som i första hand ska kontrollera att motparten följer de angivna villkoren om säkerhetsskydd. Men bestämmelsen i andra stycket gör det möjligt också för en myndighet som regeringen väljer att utöva tillsyn. Ytterligare bestämmelser om tillsyn finns i säkerhetsskyddsförordningen.
3.5 Sekretessreglerna
OSL innehåller bland annat bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Bestämmelserna avser förbud att röja uppgift, vare sig detta sker muntligen, genom utlämnande av allmän handling eller på något annat sätt (1 kap. 1 § OSL).
Sekretessen gäller både mot enskilda och andra myndigheter. Den gäller även mellan olika verksamhetsgrenar inom en myndighet, om de är att betrakta som självständiga i förhållande till varandra. Sekretess gäller också mot utländska myndigheter eller mellanfolkliga
90
SOU 2018:82 Bakgrund och viss relevant reglering
organisationer. (8 kap. 1–3 §§ OSL.) I vissa fall har det ansetts att sekretessen bör få stå tillbaka till förmån för andra intressen. I 10 kap. OSL finns det därför ett antal sekretessbrytande bestämmelser och bestämmelser om undantag från sekretess. Vissa bestämmelser medger utlämnande av sekretesskyddade uppgifter till såväl enskilda som till myndigheter, medan andra gäller antingen utlämnande till enskilda eller till andra myndigheter. Därutöver gäller den s.k. generalklausulen, som innebär att en sekretessbelagd uppgift får lämnas till en myndighet, om det är uppenbart att intresset av att uppgiften lämnas har företräde framför det intresse som sekretessen ska skydda. Generalklausulen gäller dock inte för alla typer av sekretess. Det finns slutligen en generell sekretessbrytande bestämmelse som innebär att sekretess inte hindrar att en uppgift lämnas till en annan myndighet, om uppgiftsskyldigheten följer av lag eller förordning.
De flesta sekretessbestämmelser innehåller ett skaderekvisit. Det innebär att det bara råder förbud mot att lämna ut uppgiften om detta kan leda till skada eller men för något visst intresse som anges i bestämmelsen. I vissa fall är dock sekretessen absolut, vilket innebär att det råder förbud mot utlämnande även utan risk för skada eller men.
Det finns en viktig koppling mellan reglerna om säkerhetsskydd och sekretessbestämmelserna. Som framgått i avsnitt 3.4.2 är nämligen en av grunderna för säkerhetsskyddsklassificering av en uppgift att uppgiften rör säkerhetskänslig verksamhet och därför omfattas av sekretess enligt offentlighets- och sekretesslagen. Konkret innebär detta att uppgiften omfattas av en bestämmelse om sekretess med hänsyn till antingen Sveriges säkerhet eller Sveriges förbindelser med en annan stat eller mellanfolklig organisation. Sådana bestämmelser finns bl.a. i 15 kap. OSL.
Enligt 15 kap. 1 § OSL gäller sekretess för uppgift som rör Sveriges förbindelser med en annan stat eller i övrigt rör annan stat, mellanfolklig organisation, myndighet, medborgare eller juridisk person i annan stat eller statslös, om det kan antas att det stör Sveriges mellanfolkliga förbindelser eller på annat sätt skadar landet om uppgiften röjs. För uppgift i en allmän handling gäller sekretessen i högst fyrtio år.
91
Bakgrund och viss relevant reglering SOU 2018:82
Regler om sekretess i det internationella samarbetet finns i 15 kap. 1 a § OSL. Sekretess gäller för uppgift som en myndighet har fått från ett utländskt organ på grund av en bindande EU-rättsakt eller ett av EU ingånget eller av riksdagen godkänt avtal med en annan stat eller med en mellanfolklig organisation, om det kan antas att Sveriges möjlighet att delta i det internationella samarbete som avses i rättsakten eller avtalet försämras om uppgiften röjs. Motsvarande sekretess gäller för uppgift som en myndighet har inhämtat i syfte att överlämna den till ett utländskt organ i enlighet med en sådan rättsakt eller ett sådant avtal som nyss sagts. När sekretess gäller enligt paragrafen får vissa sekretessbrytande bestämmelser i 10 kap. inte tillämpas. För uppgift i en allmän handling gäller sekretessen i högst fyrtio år. Om det finns särskilda skäl, får regeringen meddela föreskrifter om att sekretessen ska gälla under längre tid.
I 15 kap. 1 b § OSL finns bestämmelser om utrikessekretess när en myndighet har direktåtkomst till en digital uppgift hos en annan stat eller mellanfolklig organisation.
Försvarssekretessen regleras i 15 kap. 2 § OSL. Sekretess gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. I mål eller ärende enligt särskild lag om försvarsuppfinningar gäller dock sekretess för uppgift om sådana uppfinningar enligt föreskrifter i den lagen. För uppgift i en allmän handling gäller sekretessen i högst fyrtio år. Om det finns särskilda skäl, får dock regeringen meddela föreskrifter om att sekretessen ska gälla under längre tid.
I 15 kap. finns en särskild sekretessbrytande bestämmelse. Det finns också särskilda regler om hanteringen av en begäran om utlämnande av allmän handling. Slutligen finns det även bestämmelser om förhållandet mellan tystnadsplikten och meddelarfriheten enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen.
92
SOU 2018:82 Bakgrund och viss relevant reglering
3.6 Skyddet för enskildas rättigheter
3.6.1 Egendomsskyddet i regeringsformen
Enligt 2 kap. 15 § första stycket regeringsformen är var och ens egendom tryggad genom att ingen kan tvingas avstå sin egendom till det allmänna eller till någon enskild genom expropriation eller något annat sådant förfogande eller tåla att det allmänna inskränker användningen av mark eller byggnad utom när det krävs för att tillgodose angelägna allmänna intressen.
Det är fråga om två typer av ingrepp i äganderätten som aktualiseras i det aktuella stycket. Den första typen omfattar situationer där någon tvingas avstå egendom genom ”expropriation eller annat sådant förfogande”. Med detta menas att en förmögenhetsrätt – dvs. äganderätt eller annan rätt med ett ekonomiskt värde, t.ex. nyttjanderätt, servitut eller vägrätt – tvångsvis överförs eller tas i anspråk (prop. 2009/10:80 s. 163). Lagstiftning som möjliggör sådana ingrepp finns i expropriationslagen (1972:719) men även i annan lagstiftning som exempelvis plan- och bygglagen (2010:900). Den som tvingas avstå sin egendom på grund av denna typ av ingrepp är enligt 2 kap. 15 § andra stycket regeringsformen tillförsäkrad full ersättning för förlusten.
Den andra typen av ingrepp som behandlas i paragrafens första stycke är sådana som innebär att det allmänna inskränker användningen av mark och byggnader, s.k. rådighetsinskränkningar. Rådighetsinskränkningar omfattar exempelvis byggnadsförbud och användningsförbud. Även den som innehar nyttjanderätt till mark eller byggnad omfattas av skyddet. Inskränkningar i rätten att använda lös egendom faller däremot utanför bestämmelsens tillämpningsområde (prop. 2009/10:80 s. 163).
Huvudregeln är att det finns en rätt till ersättning när det allmänna inskränker användningen av mark eller byggnad. I 2 kap. 15 § tredje stycket regeringsformen framgår dock att det vid inskränkningar i användningen av mark eller byggnad som sker av hälsoskydds-, miljöskydds- eller säkerhetsskäl så gäller vad som följer av lag i fråga om rätt till ersättning. Genom denna bestämmelse uttrycks principen att ingripanden från det allmänna som har sin grund i hälsoskydds-, miljöskydds- eller säkerhetsskäl inte medför rätt till ersättning.
93
Bakgrund och viss relevant reglering SOU 2018:82
3.6.2 Egendomsskyddet i Europakonventionen
I artikel 1 i första tilläggsprotokollet till den europeiska konventionen den 4 november 1950 angående skydd för de mänskliga rättigheterna och de grundläggande friheterna (Europakonventionen) finns bestämmelser om skydd för egendom. Enligt första stycket ska varje fysisk eller juridisk person ha rätt till respekt för sin egendom. Ingen får berövas sin egendom annat än i det allmännas intresse och under de förutsättningar som anges i lag och i folkrättens allmänna grundsatser. I andra stycket anges att bestämmelserna i första stycket inte inskränker en stats rätt att genomföra sådan lagstiftning som staten finner nödvändig för att reglera nyttjandet av egendom i överensstämmelse med det allmännas intresse eller för att säkerställa betalning av skatter eller andra pålagor eller av böter och viten.
Begreppet egendom i artikel 1 i första tilläggsprotokollet ska tolkas autonomt, alltså ges samma innebörd oavsett hur begreppet definieras i de nationel la rättssystemen.
1
Med egendom avses inte
bara fast och lös egendom utan också begränsade sakrätter samt fordringar och immateriella rättigheter. Även ekonomiska intressen och förväntningar avseende utövande av näringsverksamhet omfattas av skyddet (SOU 2008:125 s. 431).
I Europadomstolens praxis har det klarlagts att artikel 1 i första tilläggsprotokollet innehåller tre regler som avser olika situationer. Den första regeln slår fast principen om rätten till respekt för egendom, den andra uppställer villkoren för att någon ska få berövas sin egendom och den tredje behandlar förutsättningarna för att inskränka rätten att nyttja egendom. De tre reglerna har ett visst samband med varandra på så sätt att de två sista reglerna avser särskilda fall av ingrepp i äganderätten som ska tolkas i ljuset av den allmänna princip som kommer till uttryck i den första regeln (se avgörandet
James m.fl. mot Förenade Konungariket den 21 februari 1986, mål
nummer 8793/79).
Den första regeln uttrycker principen om rätten till respekt för egendom (”the peaceful enjoyment of his possessions” i den engelska språkversionen) och har ett bredare tillämpningsområde än de andra reglerna och innefattar bl.a. en rätt att, använda, förfoga över, upplåta och göra sig av med egendom.
2
Till exempel har återkallelse av
1 Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 55 och 56. 2 Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 662 och 663.
94
SOU 2018:82 Bakgrund och viss relevant reglering
tillstånd att bedriva viss verksamhet bedömts vara ett ingrepp i rätten till respekt för egendom (se Europadomstolens avgörande den 7 juli 1989 i målet Tre Traktörer aktiebolag mot Sverige, mål nummer 10873/84).
Europadomstolen prövar i första hand om regel två om egendomsberövande och regel tre om nyttjande är tillämpliga, innan den första regeln tillämpas. Genom domstolens praxis har räckvidden för regel två och tre klargjorts, medan den första regeln har fått en bredare tillämpning. Förhållanden som varit svåra att kategorisera har av Europadomstolen ofta hänförts till den första regeln.
3
Den andra regeln avser olika former berövanden av egendom. Som utgångspunkt avses situationen då ägaren fråntas alla rättigheter till den aktuella egendomen.
4
Den tredje regeln gäller inskränkningar i rätten att nyttja egendom. Europadomstolen har tolkat regeln relativt strängt ur den enskildes perspektiv och har bedömt att relativt omfattande inskränkningar av ägarens rättigheter har kunnat accepteras i det allmännas intresse.
5
Vid tillämpningen av samtliga tre regler i artikel 1 i första tilläggsprotokollet gäller kravet att den åtgärd som vidtagits måste vara laglig och utan inslag av godtycklighet (se Europadomstolens avgörande Iatridis mot Grekland den 25 mars 1999, para 58, mål nr 31107/96). Ytterligare ett krav som gäller för samtliga tre regler är att åtgärden måste vara proportionerlig i den meningen att nödvändigheten av intrånget på grund av det allmännas intresse ska balanseras mot det men som den enskilde lider. Staten ges här en förhållandevis vid egen bedömningsmarginal (SOU 2008:125 s. 31).
3.6.3 Näringsfriheten
I 2 kap. 17 § första stycket regeringsformen kommer närings- och yrkesfriheten till uttryck. Enligt bestämmelsen får begränsningar i rätten att driva näring eller utöva yrke införas endast för att skydda
3 Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 666–673. 4 Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 677. 5 Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 595 och 596.
95
Bakgrund och viss relevant reglering SOU 2018:82
angelägna allmänna intressen och aldrig i syfte att enbart ekonomiskt gynna vissa personer eller företag. I denna framställning kommer vi att inrikta oss på näringsfriheten.
Bestämmelsen utgår från att regler måste vara generella på så sätt att alla ska ha möjlighet att konkurrera på lika villkor, under förutsättning att de i övrigt uppfyller de krav som ställs upp för den aktuella näringsgrenen. Därmed ska det förhindras att en enskild gynnas ekonomiskt på någon annans bekostnad. I princip är det inte tillåtet att införa regler som förhindrar nyetableringar inom en viss näring eftersom det innebär ett skydd för dem som redan är etablerade. Det gäller dock bara såvida det inte finns ett angeläget allmänt intresse av regleringen. Inskränkande föreskrifter på näringsområdet har tillkommit för att tillgodose främst säkerhets-, hälsovårds- och arbetarskyddsintressen (prop. 1993/94:117 s. 21 och 22 och prop. 2005/06:197 s. 9, 51 och 52).
6
Europakonventionen innehåller inget specifikt skydd för näringsfrihet (prop. 2003/04:65 s. 15).
3.6.4 Rätten till domstolsprövning
Artikelns tillämpningsområde
Enligt den nyss nämnda artikeln är var och en berättigad till en rättvis och offentlig förhandling inom skälig tid inför en oavhängig och opartisk domstol domstolsprövning när saken gäller hans eller hennes civila rättigheter och skyldigheter eller anklagelse för brott. Denna del av artikeln klargör alltså när artikel 6:1 är tillämplig.
Civila rättigheter och skyldigheter är ett autonomt begrepp, vilket
innebär att det ska ges samma innebörd oavsett hur begreppet definieras i de nationella rättssystemen. Europadomstolen har i en omfattande praxis utvecklat begreppet och har slagit fast att artikeln är tillämplig under förutsättning att
a) det föreligger en reell och seriös tvist mellan en enskild – fysisk
eller juridisk – person och en annan person eller en myndighet,
b) tvisten gäller en rättighet som har sin grund i den nationella rätten,
och
6 Se även Jermsten (Lexino 2018-01-01), kommentar till 2 kap. 17 § första stycket regeringsformen.
96
SOU 2018:82 Bakgrund och viss relevant reglering
c) att denna rättighet kan karakteriseras som en civil rättighet.
När en tvist gäller rätten att bedriva viss ekonomisk verksamhet eller att erhålla en myndighets tillstånd av betydelse för möjligheterna att bedriva sådan verksamhet har Europadomstolen i flera fall bedömt att det rört sig om en civil rättighet.
7
I avgörandet Zander mot Sverige
den 25 november 1993, mål nummer 14282/88, uttalade Europadomstolen att egendomsskyddet klart utgör en civil rättighet i Europakonventionens mening. I avgörandet Pudas mot Sverige den 27 oktober 1987, mål nummer 10426/83, uttalade domstolen att en återkallelse av ett tillstånd att bedriva taxiverksamhet klart rörde en civil rättighet och underströk att tillståndet var en av flera förutsättningar för att bedriva den kommersiella verksamheten i fråga.
Vilka rättssäkerhetsgarantier krävs för domstolsförfarandet?
I det följande ser vi närmare på några av de krav på generella rättssäkerhetsgarantier som enligt Europadomstolen följer av artikel 6:1. Genomgången är inte fullständig utan är i första hand inriktad på att lyfta fram den typ av krav som kan komma att aktualiseras när det gäller förelägganden och förbud enligt säkerhetsskyddslagen.
Tillträde till domstol
I avgörandet Golder mot Förenade Konungariket den 21 februari 1975, mål nummer 4451/70, klargjorde Europadomstolen att artikel 6:1 inte skulle tolkas på så sätt att den bara uppställer krav på handläggningen av en talan som redan väckts i domstol. Artikeln ger också rätt att få tillträde till domstol, vilket enligt Europadomstolen är en rättighet som kan härledas ur artikelns lydelse och som dessutom är en grundläggande rättssäkerhetsgaranti enligt konventionens preambel.
Det finns en stor mängd avgöranden där Europadomstolen bedömt att det varit fråga om prövning av civila rättigheter och skyldigheter och där det saknats möjlighet att få tillträde till domstol i de nationella rättssystemen, med följd att det uppstått en kränkning. Så var fallet i avgörandet Sporrong och Lönnroth mot Sverige den
7 Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 167.
97
Bakgrund och viss relevant reglering SOU 2018:82
23 september 1982, mål nummer 7151/75 och 7152/75, där Europadomstolen bedömde att det inte fanns tillträde till en domstol som gjorde en fullständig granskning av åtgärderna som påverkade klagandens civila rättighet som stod under prövning, varför det uppstod en kränkning av artikel 6:1.
Det kan också vara så att en part i och för sig har tillträde till en domstol men att möjligheten att föra talan är så kringskuren att det är fråga om en konventionskränkning. I princip innebär rätten att få tillträde till domstol att domstolens behörighet är tillräckligt omfattande för att medge en fullständig bedömning av de civila rättigheterna och skyldigheterna. Detta krav är inte alltid uppfyllt när en domstol överprövar en förvaltningsmyndighets beslut, eftersom domstolens prövningsrätt ibland är begränsad till att avse lagligheten av det administrativa beslutet och inte omfattar de faktiska omständigheter och de skönsmässiga bedömningar som legat till grund för det administrativa avgörandet. Frågan om en sådan prövning är tillräckligt omfattande för att uppfylla kraven i artikel 6:1 kan inte besvaras generellt. Avgörande är i varje särskilt fall om de grunder på vilka en part vill angripa ett förvaltningsbeslut har kunnat prövas av domstolen eller inte.
8
I avgörandet Tinnelly & Sons Ltd m.fl. och McElduff m.fl. mot För-
enade kungariket den 10 juli 1998, mål nummer 62/1997/846/1052–
1053, prövade domstolen om det var proportionerligt att inskränka delar av en domstolsprövning på grund av nationella säkerhetsskäl. I målet var det fråga om ett byggnadsföretag som inte hade tilldelats ett kontrakt trots att man hade lämnat det lägsta anbudet. Enligt klagandena var detta ett resultat av diskriminering. Ministern för Nordirland hade utan närmare motivering fastställt att det aktuella företaget av hänsyn till den nationella säkerheten inte kunde komma i fråga för uppdragen. Företagen överklagade ministerns ställningstaganden till domstol men ställningstagandena ansågs utgöra bindande bevis och kunde inte omprövas. Europadomstolen konstaterade att ministerns ställningstaganden hade den effekten enligt nationell rätt att de förhindrade en prövning av klagandenas påstående att de hade varit föremål för diskriminering. Vidare noterade domstolen att frågan om diskriminering hade kunnat prövas i domstolen även om det förekom överväganden kring nationell säkerhet i målet. Enligt
8 Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 204.
98
SOU 2018:82 Bakgrund och viss relevant reglering
Europadomstolen så utgjorde förbudet mot att överpröva ministerns ställningstagande en oproportionerlig inskränkning i klagandens rätt att få tillträde till domstol.
Rätten att få tillträde till domstol är dock inte absolut, vilket Europadomstolen uttalade i Golder mot Förenade Konungariket. Denna fråga utvecklades i avgörandet Ashingdane mot Förenade
Konungariket den 28 maj 1985, mål nummer 8225/78, där domstolen
dels klargjorde att medlemsländerna har en viss bedömningsmarginal (”margin of appreciation”) när det gäller att fastställa begränsningar i rätten att få tillträde till domstol, dels att det i första hand är medlemsländerna som avgör hur det ska ske. Begränsningarna får enligt Europadomstolen dock inte vara så långtgående att rättigheten urholkas. Domstolen uttalade också att en begränsning av rätten att få tillträde till domstol måste avse ett legitimt syfte och att det måste finnas ett rimligt proportionalitetsförhållande mellan de medel som används och det ändamål som staten avser att uppnå. I sak handlade Ashingdane mot Förenade Konungariket om att den nationella lagstiftningen begränsade, men inte uteslöt, möjligheten att framställa skadeståndsanspråk mot personal som arbetade på en psykiatrisk inrättning. Europadomstolen ansåg att detta var en legitim inskränkning i rätten till domstolsprövning eftersom det handlade om att skydda vårdpersonalen. Inskränkningen bedömdes också vara proportionerlig.
Oavhängig och opartisk domstol
Prövning av tvister om civila rättigheter och skyldigheter ska enligt artikel 6:1 ske inför en oavhängig och opartisk domstol. Inledningsvis är det därför nödvändigt att närmare undersöka vad som avses med domstol i Europakonventionens mening.
Europadomstolen har klarlagt att termen ”domstol” i detta sammanhang inte ska tolkas så att det bara avser domstolar av traditionellt slag. För att en dömande instans ska kunna godtas som domstol förutsätts dock att dess domar är bindande och inte kan åsidosättas av regering eller förvaltning.
Vidare anges i artikeln att prövningen ska ske inför en oavhängig och opartisk domstol. Det är inte möjligt att helt hålla isär orden ”oavhängig” och ”opartisk”. De innefattar olika aspekter av kravet
99
Bakgrund och viss relevant reglering SOU 2018:82
på att domstolen skall handla objektivt och inte påverkas av ovidkommande omständigheter. Medan ”oavhängig” närmast tar sikte på att utesluta möjligheten av obehörig påverkan utifrån, kan ”opartisk” anses syfta på att det inom domstolen inte får finnas någon vilja eller benägenhet att gynna en part framför en annan. Eftersom termerna delvis sammanfaller med varandra, är det emellertid ofta lämpligt att betrakta begreppet ”oavhängig och opartisk domstol” som en helhet. Europadomstolen har flera gånger prövat om de turkiska statssäkerhetsdomstolarna levt upp till kraven på oavhängighet och opartiskhet. I statssäkerhetsdomstolarna ingick två civila och en militär domare. De militära domarna var officerare och underkastade militär disciplin, och de hade ett kort mandat om fyra år. Europadomstolen fann i flera mål att deltagandet av en sådan militär domare kunde, när en civil person stod åtalad för separatistisk eller annan samhällsfarlig verksamhet, ge anledning till farhågor för att domstolen skulle vägledas av ovidkommande hänsyn. Statssäkerhetsdomstolarna ansågs därför inte uppfylla kraven på opartiskhet.
9
Rätten till en rättvis rättegång
Till skillnad från andra rättssäkerhetsgarantier i artikel 6:1 så inrymmer rätten till en rättvis rättegång (”fair trial”) en slags restkompetens som har gett Europadomstolen möjlighet att tillföra andra rättigheter som inte kan utläsas direkt ut artikeln.
10
Innebörden av rätten till en rättvis rättegång skiljer sig mellan åt beroende på om det är fråga om civila rättigheter och skyldigheter eller anklagelser om brott. I avgörandet Dombo Beheer mot Neder-
länderna den 27 oktober 1993, mål nummer 14448/88, klargjorde
Europadomstolen denna skillnad och anförde att medlemsländerna har ett större handlingsutrymme när det är fråga om mål om civila rättigheter och skyldigheter, särskilt på grund av avsaknaden av de detaljerade bestämmelserna i artikel 6.2 och 6.3 som gäller i brottmål.
Ur rätten till en rättvis rättegång har Europadomstolen uttolkat ett flertal krav på domstolsförfaranden. Ett av dem är rätten att få närvara under rättegången. Denna rätt att stark i brottmål men gäller
9 Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 216. 10 Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 246.
100
SOU 2018:82 Bakgrund och viss relevant reglering
bara i särskilda fall när det är fråga om civila rättigheter och skyldigheter, t.ex. när det gäller att bedöma vissa personliga förhållanden.
11
Rätten att närvara under rättegången måste också ses i ljuset
av reglerna om offentlig förhandling, som vi behandlar nedan.
Ett annat krav som Europadomstolen har uttolkat ur rätten till en rättvis rättegång är kravet på parternas likställdhet (”equality of arms”). I avgörandet Dombo Beheer mot Nederländerna bedömde domstolen att den nederländska rättsordningen inte levde upp till kravet på parternas likställdhet eftersom ena parten i en civilrättslig tvist inte fick höra ett åberopat vittne till följd av hur de processrättsliga reglerna var utformade.
Kravet på parternas likställdhet ställdes på sin spets i avgörandet
Regner mot Tjeckien den 19 september 2017 med mål nummer
35289/11, som uppvisar vissa likheter med den typ av uppgifter som kan tänkas vara föremål för prövning i mål om föreläggande och förbud enligt säkerhetsskyddsregleringen. Målet handlade om en tjänsteman med hög befattning inom försvarsdepartementet som fått sitt säkerhetsgodkännande återkallat efter att den nationella säkerhetstjänsten fått underrättelseinformation om mannen, bl.a. att han utgjorde en risk för den nationella säkerheten. Beslutet överklagades till den högsta nationella förvaltningsdomstolen utan framgång. I inledningen av sina domskäl noterade Europadomstolen att klagandens rätt till en rättvis rättegång hade inskränkts dels genom att han inte fått del av dokumenten som låg till grund för återkallelsen av hans säkerhetsgodkännande, dels genom att han inte hade fått del av grunderna för beslutet, i den del dessa härrörde från handlingarna i fråga. Frågan var därför, enligt domstolen, om dessa inskränkningar begränsade själva kärnan i rätten till en rättvis rättegång. Vid sin granskning av det nationella förfarandet beaktade domstolen särskilt om begränsningarna i klagandens rätt till likställighet hade balanserats med tillräckliga processuella garantier. Europadomstolen underströk att de nationella domstolarna hade haft tillgång till allt material och att deras prövning inte var begränsad i något avseende. I den avslutande avvägningen fann domstolen att balansen mellan parterna inte hade förskjutits så långt att det påverkade det klagandens rätt till en rättvis rättegång. I bedömningen vägde domstolen in förfarandet i de nationella domstolarna i dess
11 Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 247.
101
Bakgrund och viss relevant reglering SOU 2018:82
helhet, typen av tvist och den bedömningsmarginal som medlemsländerna åtnjuter.
Ytterligare ett krav som Europadomstolen har uttolkat ur rätten till en rättvis rättegång är rätten till ett kontradiktoriskt förfarande (”right to adversarial proceedings”). I grunden handlar kravet om att parterna i en rättegång ska ha tillgång till och möjlighet att kommentera all bevisning som åberopats (se avgörandet Vermeulen mot
Belgien den 20 februari 1996, mål nummer 19075/91). Av stor bety-
delse för utformningen av en domstolsprövning av beslut om förelägganden och förbud enligt säkerhetsskyddslagen är vilka krav som Europadomstolen har uppställt när det gäller sekretessbelagda uppgifter och annan känslig information som rör den nationella säkerheten. I avgörandet Edwards och Lewis mot Förenade Konungariket den 27 oktober 2004 med mål nummer 39647/98 och 40461/98, som rörde förfarandet i ett brottmål, uttalade domstolen att rätten att få del av relevanta bevis inte är en absolut rättighet. Domstolen angav att det i alla brottmål kan finnas konkurrerande intressen, så som nationell säkerhet eller behovet av att skydda vittnen eller att hemlighålla polismetoder, som måste vägas mot den anklagades rättigheter. I avgörandet Dağtekin med flera mot Turkiet den 13 mars 2008, mål nummer 70516/01, behandlades bl.a. frågan om den turkiska staten hade gjort sig skyldig till en kränkning av artikel 6:1 genom att inte respektera rätten till ett kontradiktoriskt förfarande. I målet, som rörde civila rättigheter och skyldigheter, hade klagandena fått sina tillstånd att arrendera jordbruksmark återkallade som en följd av en säkerhetsutredning som vidtagits av myndigheterna. De hade dock aldrig fått ta del av utredning eller skälen till varför deras tillstånd återkallades. De hade inte heller fått möjlighet att pröva lagligheten i återkallelsen. Europadomstolen anförde att den var medveten om säkerhetsläget i de aktuella delarna av landet och behovet av att myndigheterna var vaksamma. Samtidigt påpekade domstolen att nationella myndigheter inte kan undgå effektiv domstolskontroll på den grunden att de påstår att det är fråga om nationell säkerhet och terrorism. I sak bedömde domstolen att det inte fanns några åtgärder som skyddade klagandena mot myndigheternas godtycke och bedömde därför att det hade skett en kränkning av artikel 6:1. I bedömningen betonades att varken klagandena eller de nationella domstolarna hade fått del av säkerhetsutredningen ifråga. Europadomstolen
102
SOU 2018:82 Bakgrund och viss relevant reglering
underströk vidare att det finns metoder för att tillgodose säkerhetsproblem som rör känslig information och dess källor, och samtidigt ge individen ett påtagligt mått av processuell rättvisa. I detta avseende hänvisade domstolen till avgörandet Chahal mot För-
enade Konungariket den 15 november 1996 med mål nummer 22414/93,
där det var fråga om rätten till ett effektivt rättsmedel enligt artikel 13 hade kränkts i samband med utvisning. I den nationella processen gjordes det bl.a. gällande att klaganden utgjorde en risk för den nationella säkerheten. De inhemska organ som prövade frågan om utvisning uppfyllde inte de krav på processuell rättvisa som Europadomstolen ansåg var nödvändiga. Europadomstolen påpekade bl.a. att de inhemska organens prövning inte avsåg alla omständigheter som låg till grund för beslutet om utvisning, utan endast frågan om nationell säkerhet. Därmed prövades inte risken för att klaganden utsattes för behandling i strid med artikel 3 vid en utvisning. Europadomstolen var också kritisk till att klaganden inte hade fått något rättsligt biträde i processen. Rätten till ett effektivt rättsmedel enligt artikel 13 hade därför kränkts.
Rätten till offentlig förhandling
Rätten till en offentlig förhandling framgår av direkt ordalydelsen i artikel 6:1. Möjligheten att neka allmänhet och press tillträde till en förhandling får bara ske om det är motiverat utifrån de syften som anges i artikel 6:1, nämligen hänsynen till den allmänna moralen, den allmänna ordningen eller den nationella säkerheten i ett demokratiskt samhälle.
Av Europadomstolens praxis följer att det i princip krävs att en
muntlig förhandling hålls vid prövning av frågor om civila rättigheter
eller skyldigheter eller anklagelser för brott.
12
I avgörandet Jussila
mot Finland den 23 november 2006 med mål nummer 73053/01 be-
tonade Europadomstolen dock att det är karaktären av de frågor som ska avgöras av den behöriga domstolen som motiverar om en muntlig förhandling kan undvaras. Som exempel har Europadomstolen i avgörandet Döry mot Sverige den 12 november 2002, mål nummer 28394/95, uttalat att i mål av teknisk karaktär där utfallet vanligtvis
12 Danelius (2015), Mänskliga rättigheter i europeisk praxis s. 237–243.
103
Bakgrund och viss relevant reglering SOU 2018:82
följer av skriftliga underlag utfärdade av läkare så kan tvisten med fördel hanteras i ett skriftligt förfarande.
3.6.5 Rättsprövningslagen
Regeringen är inte att anse som en domstol i den mening som avses i artikel 6 i Europakonventionen. I syfte att garantera att Sverige lever upp till de krav som ställs i artikel 6 infördes ett nytt rättsmedel kallat rättsprövning. Rättsmedlet innebär att det finns en möjlighet att i vissa fall begära rättsprövning i Högsta förvaltningsdomstolen av beslut i vissa ärenden som beslutas av regeringen. Möjligheten följer numera av lagen (2006:304) om rättsprövning av vissa regeringsbeslut (rättsprövningslagen).
En enskild får ansöka om rättsprövning av sådana beslut av regeringen som innefattar en prövning av den enskildes civila rättigheter eller skyldigheter i den mening som avses i artikel 6.1 i Europakonventionen (1 § rättsprövningslagen). Det finns även vissa andra fall som kan bli föremål för rättsprövning, som dock saknar intresse här.
En ansökan om rättsprövning enligt 1 § ska ha kommit in till Högsta förvaltningsdomstolen senast tre månader från dagen för beslutet. Det ska framgå av ansökan vilken rättsregel sökanden anser att beslutet strider mot och vilka omständigheter som åberopas till stöd för detta. Utgångspunkten är att regeringens beslut gäller även om det har gjorts en ansökan om rättsprövning. Högsta förvaltningsdomstolen får dock bestämma att beslutet tills vidare inte ska gälla. I ett mål om rättsprövning enligt 1 § ska Högsta förvaltningsdomstolen hålla muntlig förhandling, om sökanden begär det och det inte är uppenbart obehövligt.
Om Högsta förvaltningsdomstolen finner att regeringens beslut strider mot någon rättsregel på det sätt som sökanden har angett eller som klart framgår av omständigheterna, ska beslutet upphävas. Detta gäller dock inte om det är uppenbart att felet saknar betydelse för avgörandet. Högsta förvaltningsdomstolen ska, om det behövs, återförvisa ärendet till regeringen. Om regeringens beslut inte upphävs, står det fast.
104
SOU 2018:82 Bakgrund och viss relevant reglering
Klagorätten enligt 1 § gäller för ”enskild”. Med det menas inte bara privatpersoner utan också företag, föreningar och andra juridiska personer. Det är inte nödvändigt att den enskilde har intagit formell partsställning i ett förvaltningsärende. Däremot förutsätts det att den klagande har varit offer för en kränkning och att den åberopade rättigheten har sin grund i den nationella rätten.
13
All-
männa organ, t.ex. myndigheter och kommuner kan inte ansöka om rättsprövning.
Kravet på att ärendet gäller enskildas civila rättigheter och skyldigheter innebär att rättsprövning inte kan ske av beslut som inte har några direkta rättsverkningar för den enskilde. Det måste också vara fråga om ett beslut i ett enskilt fall. Exempelvis kan normbeslut inte bli föremål för rättsprövning. I praktiken är det en mängd offentligrättsliga beslut som kan rättsprövas, förutsatt att regeringen är beslutsinstans. Det kan t.ex. handla om tillstånd av olika slag, förelägganden, beslut om tjänstetillsättning och bidrag etc. Sådana beslut som enligt Europadomstolens praxis faller utanför artikel 6, som t.ex. skatter och avgifter, betyg, politiska rättigheter m.m., kan inte bli föremål för rättsprövning.
14
I förarbetena framgår det att politiska lämplighetsfrågor ska lämnas utanför rättsprövningen, eftersom domstolar inte kan förutsättas göra bedömningar av utpräglat skönsmässig eller politisk karaktär (prop. 1987/88:69 s. 24 och 25). Det kan alltså bli nödvändigt att dela upp ärendet i en prövningsbar och en icke prövningsbar del, se t.ex. Högsta förvaltningsdomstolens avgöranden RÅ 1989 ref. 16, RÅ 1989 ref. 95 och RÅ 1989 ref. 96. Om regeringens bedömning innefattar ett visst mått av skönsmässighet, kan Högsta förvaltningsdomstolen vid rättsprövning undersöka om beslutet faller inom ramen för regeringens handlingsfrihet. Såtillvida behöver rättsprövning inte utgöra en fullständig överprövning av ett meddelat förvaltningsbeslut.
15
13 Warnling (Karnov 2018-07-01), kommentar till 1 § rättsprövningslagen. 14 Wiweka Warnling-Nerep (2015), Rättsmedel: Om- och överprövning av förvaltningsbeslut s. 207–210. 15 Om detta stycke, se Warnling (Karnov 2018-07-01), kommentar till 7 § rättsprövningslagen med där gjorda hänvisningar.
105
4 Nordisk utblick
4.1 Inledning
I detta kapitel redogör vi för regleringen i Norge, Finland och Danmark i fråga om bl.a. säkerhetsskyddad upphandling och överlåtelse av verksamheter som har betydelse för nationell säkerhet. Framställningen bygger i huvudsak på allmänt tillgängliga källor, såsom författningstext, förarbeten och officiella webbsidor med rättsinformation. Beskrivningen av dansk rätt är till största delen hämtad från SOU 2015:25 (s. 200–204). Vi har vidare gjort studiebesök i Norge och Finland.
4.2 Norge
I Norge finns bestämmelser om säkerhetsskydd i lov om fore-
byggende sikkerhetstjeneste (sikkerhetsloven), i det följande kallad
säkerhetslagen.
1
Lagen gäller som utgångspunkt för förvaltnings-
organ i stat och kommun samt för juridiska personer som inte är förvaltningsorgan vilka levererar varor eller tjänster till ett förvaltningsorgan genom en säkerhetsklassificerad upphandling (sikkerhets-
graderte anskaffelser). Regeringen kan även besluta att lagen helt eller
delvis också ska gälla för något annat rättssubjekt, inklusive bl.a. privatpersoner och näringsverksamheter om de exempelvis äger eller kontrollerar ett skyddsobjekt (skjermingsverdig objekt) eller av ett förvaltningsorgan har fått tillgång till säkerhetsklassad information.
En ny lag om nationell säkerhet – Lov om nasjonal sikkerhet (sikkerhetsloven, LOV-2018-06-01-24) – har antagits men har i skrivande stund inte trätt i kraft.
2
I likhet med den nuvarande säker-
1 Lov om forebyggende sikkerhetstjeneste, LOV-1998-03-20-10. 2 Prop. 153 L. (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven).
107
Nordisk utblick SOU 2018:82
hetslagen är syftet med den nya lagen att trygga nationella säkerhetsintressen, och då särskilt Norges suveränitet, territoriella integritet och demokratiska styrelseskick. Den nya lagen är inriktad på att skydda viktiga samhällsfunktioner som understödjer de nyss nämnda intressena. De samhällsfunktioner som avses (grundläggande nationella funktioner) är sådana tjänster eller sådan produktion eller annan verksamhet som har en sådan betydelse att ett helt eller delvis bortfall av funktionen skulle få konsekvenser för statens förmåga att ta till vara nationella säkerhetsintressen.
3
Anskaffningar
En upphandling definieras som säkerhetsklassificerad om leverantören kan få tillgång till skyddsvärd information (skjermingsverdig
informasjon) eller skyddsobjekt. En upphandling kan också defini-
eras som säkerhetsklassificerad om den måste skyddas av andra skäl.
Enligt vägledningen till den nuvarande säkerhetslagen är syftet med säkerhetsklassificerade upphandlingar att skydda information, material och föremål när förvaltningsorgan ingår affärer. Det innebär, enligt vägledningen, att regelverket om säkerhetsklassificerade upphandlingar ska tillämpas vid inköp, hyra, försäljning, uthyrning och överlåtelser.
4
Vid säkerhetsskyddad upphandling måste ett säkerhetsavtal ha ingåtts mellan det upphandlande förvaltningsorganet och leverantören innan leverantören kan få tillgång till skyddsvärd information. Säkerhetsavtalet ska närmare reglera de ansvar och skyldigheter som följer av lagen. Säkerhetsavtal med utländska leverantörer kan endast ingås efter godkännande av den nationella säkerhetsmyndigheten (Nasjonal sikkerhetsmyndighet).
Om leverantören genom upphandlingen kan få tillgång till skyddsvärd information i klassen konfidentiellt eller högre, eller om det av annan anledning är nödvändigt, så krävs att den nationella säkerhetsmyndigheten har meddelat en leverantörsklarering för den aktuella säkerhetsgraden. Leverantörsklarering medges inte om det finns rimligt tvivel om leverantörens säkerhetsmässiga lämplighet. När leverantörens lämplighet prövas får man endast lägga vikt vid frågor som
3 Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven) s. 7.
4
Veiledning i sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur, Nasjonal
sikkerhetsmyndighet s. 3.
108
SOU 2018:82 Nordisk utblick
är relevanta för att bedöma leverantörens förmåga och vilja att bedriva förebyggande säkerhetsarbete enligt lagen. Personalkontroll av leverantörens styrelse och ledning ska ingå i bedömningen. En leverantörsklarering ges för en period om fem år.
5
Negativa beslut om leverantörsklarering, villkor för klarering samt beslut om när frågan om klarering på nytt kan tas upp får överklagas till Försvarsdepartementet.
En leverantör får inte överföra skyddsvärd information eller skyddsobjekt till en ny ägare, varken direkt eller indirekt, om inte den nationella säkerhetsmyndigheten har gett sitt tillstånd.
Leverantörer som innehar en klarering ska utan dröjsmål underrätta den nationella säkerhetsmyndigheten om förändringar i ledning, ägarstruktur, lokaler och utrustning och andra förhållanden som kan påverka leverantörens säkerhetsmässiga lämplighet. Om förhållandena utgör en säkerhetsrisk som inte kan elimineras så kan den nationella säkerhetsmyndigheten återkalla leverantörsklareringen.
I januari 2017 infördes en ny bestämmelse i säkerhetslagen om upphandlingar som rör kritisk infrastruktur. I begreppet kritisk infrastruktur ingår livsmedel- och energiförsörjning, vatten och avlopp, sociala förmåner och tjänster, finansiella tjänster, elektronisk kommunikation, transport och satellitbaserade tjänster.
6
Vid upp-
handlingar som rör kritisk infrastruktur ska det göras en riskbedömning. Om bedömningen visar att det finns en inte obetydlig risk för att säkerhetshotande aktiviteter etableras eller genomförs, kan regeringen besluta om affären ska vägras eller att villkor fastställs för dess genomförande. Detta gäller även om ett avtal redan har ingåtts.
Den nya säkerhetslagen som ännu inte trätt i kraft är en modernisering av den tidigare lagen. Reglerna om säkerhetsskyddad upphandling överförs i allt väsentligt till den nya lagen. Verksamheter som träffas av lagen är skyldiga att bedöma risken när en leverantör kan få tillgång till säkerhetsklassificerad information eller skyddsvärda objekt eller infrastruktur. I sådana fall ska det ingås ett säkerhetsavtal med leverantören och det ska bedömas om leverantören ska få klarering.
5
Veiledning i sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur, Nasjonal
sikkerhetsmyndighet s. 9.
6
Veiledning i sikkerhetsgraderte anskaffelser og anskaffelser til kritisk infrastruktur, Nasjonal
sikkerhetsmyndighet s. 6 och 7.
109
Nordisk utblick SOU 2018:82
Verksamhetsöverlåtelser och ägarskapskontroll
I den utredning som föregick propositionen till ny säkerhetslag konstaterades det att det finns en viss möjlighet att kontrollera ägandeförhållandena hos leverantörer genom systemet med leverantörsklarering (se i det föregående). Detta system ger säkerhetsmyndigheten inblick i leverantörens ägarstruktur och en möjlighet att dra tillbaka leverantörsklareringen om ägarkonstellationen utvecklar sig i en riktning som utgör en ökad säkerhetsrisk. Utredningen konstaterade dock att regelverket är avgränsat till konkreta anskaffningar och således är mindre ägnat att ta om hand mer generella behov av kontroll över ägandet till strategiskt viktiga företag. Det ansågs vidare att det gällande regelverket inte kan säkerställa att grundläggande nationella funktioner inte blir lidande genom att strategiskt viktiga företag helt eller delvis blir uppköpta av utländska aktörer.
7
Med hänsyn till ovanstående omfattar den nya säkerhetslagen bl.a. vissa bestämmelser om ägarskapskontroll och om förvärv av kritisk infrastruktur. Det finns bl.a. en bestämmelse som särskilt tar sikte på förvärv av verksamheter som omfattas av lagen. Bestämmelsen bygger på att den som avser att förvärva en kvalificerad andel av en verksamhet som omfattas av säkerhetslagen ska meddela departementet. Med kvalificerad andel avses att förvärvet direkt eller indirekt sammantaget kommer att leda till att förvärvaren får
• minst en tredjedel av aktiekapitalet, andelarna eller rösterna i verksamheten,
• rätt att bli ägare till minst en tredjedel av aktiekapitalet eller andelarna, eller
• betydande inflytande över förvaltningen av företaget på något annat sätt.
Aktier som ägs eller övertas av aktieägarens närstående jämställs med aktieägarens aktier. Detsamma gäller andra andelar än aktier när det inte är fråga om ett aktiebolag. Dessa aktier eller andelar räknas alltså in i den totala effekten av förvärvet.
7 Sikkerhetsutvalgets rapport NOU 2016:19 Samhandling for sikkerhet – Beskyttelse av grunn-
leggende samfunnsfunksjoner i en omskiftelig tid, kapitel 12.2.
110
SOU 2018:82 Nordisk utblick
För att undvika att utländska företag genomför förvärv genom nationella bolag gäller bestämmelsen även inhemska företag. Enligt bestämmelsen ska departementet inom 60 dagar besluta om förvärvet godkänns eller om frågan ska hänskjutas till regeringen (Kongen i statsråd). Regeringen kan besluta att förvärvet inte godkänns eller att förvärvet ska förenas med villkor. Möjligheten att hindra förvärvet föreslås gälla även om det redan har träffats ett avtal om förvärvet. Beslut att inte godkänna förvärv är enligt förarbetena tänkta att användas i exceptionella situationer efter en proportionalitetsbedömning i varje enskilt fall.
8
I propositionen finns det bara en relativt kortfattad beskrivning av de konsekvenser som ägarskapskontrollen förväntas medföra, men det uttalas bl.a. att tröskeln för bestämmelsens tillämpning är hög och att när beslutskompetensen används så kommer det nationella säkerhetsintresset väga tyngre än de negativa ekonomiska konsekvenserna för verksamheten och den tilltänkta förvärvaren.
I den nu gällande säkerhetslagen finns det regler om rapporteringsplikt avseende förvärv av kritisk infrastruktur och möjlighet för regeringen att avbryta förvärv av kritisk infrastruktur. Reglerna överförs till den nya lagen och de omfattar där även säkerhetskänsliga informationssystem och objekt.
4.3 Finland
Verksamhetsöverlåtelser
Det finns i finsk rätt inte några särskilda regler om säkerhetsskyddad upphandling eller om granskning eller liknande av utkontraktering eller upplåtelse. Däremot finns det bestämmelser om utlänningars företagsköp. Dessa finns i lagen om tillsyn över utlänningars företagsköp, 13.4.2012/172. Syftet med lagen är att övervaka och, när ett ytterst viktigt nationellt intresse kräver det, begränsa överföringen av inflytande i de företag som är föremål för tillsyn till utlänningar och utländska sammanslutningar och stiftelser.
8 Prop. 153 L (2016–2017) Lov om nasjonal sikkerhet (sikkerhetsloven) s. 152.
111
Nordisk utblick SOU 2018:82
I praktiken avses med ytterst viktigt nationellt intresse i synnerhet
• försvaret,
• försörjningsberedskapen, och
• samhällets vitala funktioner.
Lagen utgår från en positiv inställning till utländskt ägande. Myndigheterna har dock möjlighet att utöva kontroll över ägarunderlaget hos de bolag som är av central betydelse för försörjningsberedskapen och landets säkerhet, och vid behov begränsa utlänningars innehav i sådana bolag.
Med företagsköp avses enligt lagen en åtgärd genom vilken
• en utländsk ägare förvärvar minst en tiondedel eller
• minst en tredjedel, eller
• minst hälften av det sammanlagda röstetalet för aktierna i bolaget eller motsvarande faktiskt inflytande i ett aktiebolag eller annat föremål för tillsyn.
Arbets- och näringsministeriet behandlar myndighetsärenden som gäller tillsynen över och bekräftelsen av företagsköp. I den omfattning som behövs inhämtar ministeriet även utlåtanden från andra myndigheter.
Företagsköp inom försvarssektorn och inom tillverkningen av produkter med dubbla användningsområden kräver alltid en förhandsbekräftelse från myndigheten (ansökan). En utländsk ägare ska alltså på förhand anhålla om ministeriets bekräftelse av företagsköpet. Om den utländska ägaren inte har gjort en ansökan om bekräftelse kan ministeriet bestämma en tid inom vilken ansökan ska göras. Underlåtelse att ge in en ansökan inom den tiden innebär att ministeriet ska vägra bekräftelse av företagsköpet (4 § lagen).
På den civila sidan omfattar tillsynen sådana finländska företag som anses vara kritiska med tanke på tryggandet av samhällets vitala funktioner. Vid köp av sådana företag gäller ingen skyldighet att ansöka om bekräftelse. Däremot kan den utländska ägaren välja att anmäla förvärvet till ministeriet. Den utländska ägaren kan även på förhand anmäla köpet för bekräftelse av arbets- och näringsministeriet, om företagsköpet framskridit till ett skede som omedelbart föregår
112
SOU 2018:82 Nordisk utblick
det slutliga genomförandet av arrangemanget. På begäran av ministeriet ska en utländsk ägare lämna alla uppgifter om föremålet för tillsyn, den utländska ägaren och företagsköpet som behövs för en utredning av ett ärende som gäller bekräftelse av företagsköpet. Ministeriet ska begära uppgifterna inom tre månader från det att ministeriet fått kännedom om företagsköpet. (5 § lagen.)
Oavsett om det handlar om försvarssektorn eller den civila sektorn ska ministeriet bekräfta ett företagsköp, om köpet inte kan äventyra ett ytterst viktigt nationellt intresse. Om köpet kan äventyra ett sådant intresse ska ministeriet överföra ärendet för behandling vid statsrådets allmänna sammanträde. (4 § tredje stycket och 5 § tredje stycket lagen.)
När det gäller försvarsmaterielindustrin omfattas samtliga utländska ägare av tillsynen. Till övriga delar omfattar tillsynen endast sådana utländska ägare som har sin bonings- eller hemort i en stat som inte tillhör EU eller Europeiska frihandelssammanslutningen (EFTA).
I 6 § lagen anges vissa undantag från kravet på bekräftelse av företagsköp. En sådan bekräftelse behövs inte om aktiekapitalet i ett aktiebolag ökas, och den utländska ägaren i samband med ökningen tecknar aktier i proportion till de aktier som han eller hon redan har i bolaget (första punkten). Någon bekräftelse krävs inte heller om den utländska ägaren får egendom genom arv eller testamente eller med stöd av giftorätt (andra punkten). Det finns även vissa andra undantag, som dock inte gäller för försvarsindustriföretag.
Följderna av att bekräftelse vägras framgår av 8 § lagen. Om det handlar om ett aktiebolag blir följden att den utländska ägaren ska överlåta en viss del av aktierna och att ägarens röster vid bolagsstämman begränsas. Om det handlar om ett annat slags företag ska avtalen som gäller förvärvet av inflytande eller rörelsen återgå.
Regler om straff för företagsköpsförseelse finns i 10 § lagen. Den som uppsåtligen eller av grov oaktsamhet försummar att ansöka om bekräftelse vid förvärv av företagsköp inom försvarssektorn döms för företagsköpsförseelse, om gärningen inte är ringa eller om inte strängare straff för gärningen föreskrivs i någon annan lag. Detsamma gäller den som försummar sin skyldighet att på begäran lämna upplysningar till ministeriet enligt 5 §, eller som ger myndigheterna felaktiga upplysningar eller hemlighåller upplysningar som är viktiga för behandlingen av ärendet.
113
Nordisk utblick SOU 2018:82
Överlåtelser av fast egendom
Den 1 juni 2017 tillsatte statsrådets kansli en arbetsgrupp som fick i uppdrag att utarbeta förslag till författningsändringar som krävs för att statens övergripande säkerhet ska kunna förbättras vid överföring av fast egendom. Den 28 juni 2018 lämnade arbetsgruppen sina förslag. Förslagen går i korthet ut på följande.
• Lagen om inlösen av egendom för försvarsändamål ska upphävas och en ny lag som gäller inlösen av fast egendom och särskilda rättigheter och som har ett mer omfattande tillämpningsområde ska stiftas i syfte att trygga den nationella säkerheten. Så anses vara fallet när inlösen sker för tryggande av landets försvar, den territoriella integriteten, ledningen av staten, gränssäkerheten, gränsbevakningen, försörjningsberedskapen eller funktionen hos den infrastruktur som är nödvändig för samhället eller av något annat med dessa jämförbart samhälleligt intresse. Inlösen ska också i fortsättningen vara en åtgärd som tillgrips i sista hand för att trygga den nationella säkerheten vid överföring av fast egendom.
• Markanvändnings- och bygglagen ska ha en bestämmelse om den nationella säkerheten angående områdesanvändningen.
• Staten ska ha förköpsrätt vid fastighetsköp, om förvärvet av fastigheten till staten är nödvändigt för säkerställande av försvaret eller gränssäkerheten eller för övervakning och tryggande av Finlands territoriella integritet.
• Det införs en lag om övervakning och begränsning av vissa fastighetsförvärv med regler om tillsyn över utlänningars fastighetsförvärv i områden som är betydande med tanke på försvaret, gränssäkerheten, försörjningsberedskapen samt övervakningen och tryggandet av Finlands territoriella integritet. Enligt bestämmelserna ska en sammanslutning med hemort utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet och en medborgare i en stat som inte hör till Europeiska unionen eller Europeiska ekonomiska samarbetsområdet ansöka om tillstånd för förvärv av en fastighet i sådana områden.
114
SOU 2018:82 Nordisk utblick
Syftet med den föreslagna regleringen är att skapa metoder med hjälp av vilka myndigheterna kan förbättra den nationella säkerheten i betydande investeringsprojekt samt vid överföringar av ägandeoch besittningsrätten till fast egendom som finns i närheten av samhällets vitala funktioner eller driftställen som är väsentliga med tanke på säkerhetsmyndigheternas uppgifter. De föreslagna bestämmelserna avses förbättra statens möjligheter att ingripa mot åtgärder som äventyrar den nationella säkerheten.
4.4 Danmark
I Danmark regleras säkerhetsskyddet i Statsministerns säkerhetscirkulär
9
, som rör skyddet av såväl dansk skyddsvärd information
som sådan information från bl.a. Nato, EU och andra organisationer och stater som Danmark har internationella avtal med. Cirkuläret har nyligen övergått till Justitsministeriet och kan tillämpas även av övriga ministerier. Det innehåller bestämmelser om bl.a. klassificering av information, it-säkerhet, personalsäkerhet och fysisk säkerhet, rådgivning och tillsyn. Cirkuläret har ett informationssäkerhetsperspektiv och ger inte något skydd för säkerhetskänslig verksamhet i övrigt. Cirkulärets innehåll kan göras tillämpligt på enskilda genom avtal.
Politiets Efterretningstjeneste (Polisens underrättelsetjänst) och Forsvarets Efterretningstjeneste (Försvarets underrättelsetjänst) är de två myndigheter som har huvudansvaret för säkerhetsskydd i Danmark, och är nationell säkerhetsmyndighet och nationell itsäkerhetsmyndighet. Verksamheterna styrs av lagen om polisens underrättelsetjänst (LOV nr. 604 af 12/06/2013) respektive lagen om försvarets underrättelsetjänst (LOV nr. 602 af 12/06/2013). Under Försvarets underrättelsetjänst finns Center for Cybersikkerhed, som är Danmarks nationella it-säkerhetsmyndighet (lov nr. 713 af 25/06/2014).
Industrisäkerheten är inte lagreglerad, men det finns i säkerhetscirkuläret en bestämmelse om att den nationella säkerhetsmyndigheten kan ingå avtal om områdessäkerhetsgodkännande, och Försvarets underrättelsetjänsts säkerhetsgodkännande av verksamheter är beskrivet i förarbetena till lagen om försvarets underrättelsetjänst.
9 Statsministeriets Cirkulære om sikkerhedsbeskyttelse af informationer af fælles interesse for landene i NATO eller EU, andre klassificerede informationer samt informationer af sikkerhedsmæssig beskyttelseinteresse i øvrigt, CIR nr. 10338 af 17/12/2014.
115
Nordisk utblick SOU 2018:82
I de nyss nämnda lagarna finns dessutom bestämmelser om när behandling av uppgifter om juridiska personer är tillåten. Försvarets underrättelsetjänst genomför således säkerhetsgodkännande av privata verksamheter. Enbart verksamheter som har blivit säkerhetsgodkända kan få uppdrag som innebär tillgång till klassificerad information. Kraven på säkerhetsskydd regleras i avtal mellan den upphandlande myndigheten och uppdragstagaren och avtalet ligger sedan till grund för säkerhetsprövning av den personal som kan komma att få tillgång till klassificerad information. Polisens underrättelsetjänst har i princip samma möjligheter för den civila sektorn, men ännu har det inte förekommit att verksamheter utanför Försvarsministeriets verksamhetsområde har haft behov av säkerhetsgodkännande. Ett säkerhetsgodkännande kan ligga till grund för säkerhetsintyg för leverantör om det behövs för internationell samverkan. Dessa utfärdas av Försvarets underrättelsetjänst i egenskap av industrisäkerhetsmyndighet.
Någon särskild reglering om nationell säkerhet och företagsöverlåtelser finns inte. Det finns viss områdesspecifik reglering om granskning av utländska investeringar, bl.a. när det gäller produktion av krigsmateriel, cybersäkerhet, el- och gasområdet och finansiella verksamheter.
116
5 Skyldigheten att ingå säkerhetsskyddsavtal
5.1 Uppdraget
Bakgrund till uppdraget
Enligt regler i säkerhetsskyddslagen (2018:585), i det följande kallad
nya säkerhetsskyddslagen, ska statliga myndigheter, kommuner och
landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader i vissa fall vara skyldiga att ingå ett säkerhetsskyddsavtal med leverantören. I avtalet ska det anges hur kraven på säkerhetsskydd ska tillgodoses. Skyldigheten att ingå säkerhetsskyddsavtal gäller även för enskilda verksamhetsutövare i motsvarande situationer.
Bestämmelserna gäller i princip bara upphandlingssituationer, dvs. situationer där det är fråga om en anskaffning av varor, tjänster eller byggentreprenader. Vid remitteringen av betänkandet En ny
säkerhetsskyddslag (SOU 2015:25), som den nya lagen till stor del
bygger på, framförde vissa remissinstanser att skyldigheten borde gälla även i andra situationer då avtal ingås. Regeringen ansåg att det finns anledning att överväga om det borde införas ett krav på säkerhetsskyddsavtal även i andra avtalssituationer då en utomstående part får ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Eftersom det saknades beredningsunderlag gick man dock inte vidare med frågan i det lagstiftningsärendet utan gav i stället tilläggsdirektiv till oss. I tilläggsdirektivet anges följande.
Offentliga och enskilda aktörer samverkar i dag på många fler sätt än vid offentliga upphandlingar. Sådan samverkan finns t.ex. inom informations- och cybersäkerhetsområdet vilket bl.a. berörts i regeringens skrivelse Nationell strategi för samhällets informations- och
117
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
cybersäkerhet (skr. 2016/17:213). Sådana samarbeten kan även före-
komma när statliga myndigheter i andra fall levererar tjänster till utomstående eller vid olika typer av forskningsprojekt där offentliga och enskilda aktörer deltar och delar information. Om ett sådant samarbetsprojekt skulle beröra säkerhetskänslig verksamhet skulle det varken enligt den gällande eller den nya säkerhetsskyddslagen medföra krav på att ingå säkerhetsskyddsavtal. En grundläggande princip inom säkerhetsskyddet är att de intressen som lagstiftningen slår vakt om bör ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. En naturlig konsekvens av denna princip bör vara att när en aktör som bedriver säkerhetskänslig verksamhet avser att dela information med någon utomstående, eller ge den utomstående tillgång till säkerhetskänslig verksamhet, ska informationens eller verksamhetens skydd upprätthållas.
Uppdraget
Mot ovanstående bakgrund har vi fått i uppdrag att utreda hur regleringen om säkerhetsskyddsavtal kan kompletteras. Vi ska således analysera och föreslå i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser som träffas med utomstående och som berör den säkerhetskänsliga verksamheten.
Vi ska lämna fullständiga författningsförslag. Det ingår dock inte i uppdraget att överväga förslag till ändringar i grundlag.
Avgränsningar
Det anges i direktiven att uppdraget omfattar samarbetssituationer som inte träffas av kravet på säkerhetsskyddsavtal i nya säkerhetsskyddslagen. Uppdraget gäller alltså enbart frågan om även andra fall bör träffas och inte frågan om det bör ske några inskränkningar av den skyldighet som gäller enligt nya säkerhetsskyddslagen.
Med utgångspunkt i direktivens utformning och de överväganden som görs om saken i propositionen Ett modernt och stärkt skydd för
Sveriges säkerhet – ny säkerhetsskyddslag (prop. 2017/18:89 s. 106 och
107), har vi inte tagit upp frågan om skyldigheten att ingå säkerhetsskyddsavtal borde gälla vid en lägre säkerhetsskyddsklass än som
118
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
följer av nya säkerhetsskyddslagen. Några överväganden om detta finns alltså inte i betänkandet.
Det anges vidare i direktiven att uppdraget inte omfattar sådant samarbete som en myndighet bedriver i enlighet med en författning eller ett regeringsbeslut och som förutsätter ett utbyte av säkerhetskänsliga uppgifter och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för uppgifterna upprätthålls. Vi återkommer till denna fråga i avsnitt 5.4.6.
En annan fråga som har uppmärksammats under vårt arbete är användningen av och beroenden till olika former av öppna data i säkerhetskänslig verksamhet. Med öppna data menar vi information som tillhandahålls fritt utan krav på avgifter och med få eller inga tekniska eller rättsliga begränsningar i fråga om hur den får användas (jfr SOU 2018:25 s. 99 och 100). Som exempel kan nämnas Lantmäteriets öppna geografiska data och SMHI:s öppna meteorologiska observationer. Vi tolkar vårt uppdrag på så sätt att vi ska utreda om kravet på att ingå säkerhetsskyddsavtal ska utvidgas till andra former av samarbeten än upphandlingssituationer, där aktörer som bedriver säkerhetskänslig verksamhet avser att ge utomstående tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Enligt vår tolkning avser uppdraget inte situationer där en aktör tillhandahåller uppgifter som inte är säkerhetsskyddsklassificerade, vilket regelmässigt får anses vara fallet när det gäller öppna data.
5.2 Den relevanta regleringen
Inledning
I detta avsnitt redogör vi för regleringen om säkerhetsskyddsavtal och vissa andra relevanta regler i nya säkerhetsskyddslagen. Om inte annat sägs bygger redogörelsen för nya säkerhetsskyddslagen på framställningen i prop. 2017/18:89. Vi redogör också för relevanta bestämmelser i säkerhetsskyddsförordningen (2018:658), i det följande kallad nya säkerhetsskyddsförordningen.
119
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
Vad är ett säkerhetsskyddsavtal?
Som tidigare sagts är en grundtanke inom säkerhetsskyddet att de intressen som lagstiftningen slår vakt om ska ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. I det här sammanhanget innebär det att när en utomstående aktör genom en upphandling engageras i säkerhetskänslig verksamhet ska behovet av säkerhetsskyddsåtgärder utredas och kraven på sådana åtgärder ställas upp i ett säkerhetsskyddsavtal mellan parterna. Bestämmelser om säkerhetsskyddsavtal finns i 2 kap. 6 § nya säkerhetsskyddslagen.
Det huvudsakliga syftet med ett säkerhetsskyddsavtal är att reglera de säkerhetsskyddsåtgärder som behövs hos leverantören för den verksamhet som omfattas av ett kontrakt om varor, tjänster eller byggentreprenader. Säkerhetsskyddsavtalet bör bl.a. innehålla överenskommelser om säkerhetsskyddsorganisationen, informationssäkerhet, behörigheter, säkerhetsprövning av personal, utbildning och kontroll, tillsyn, fördelning av kostnaderna för säkerhetsskyddet och avtalsperiod.
1
Avtalet utgör vidare en grund för att besluta om
vilka anställningar och annat deltagande i verksamheten hos leverantören som ska placeras i säkerhetsklass (prop. 2017/18:89 s. 104). Säkerhetsskyddsavtalet bör då i tillämpliga delar innehålla överenskommelser om säkerhetsprövning inklusive placering i säkerhetsklass och registerkontroll.
2
Bestämmelserna om säkerhetsskydds-
avtal är av stor betydelse för att nödvändiga tjänster och varor ska kunna upphandlas inom skyddsvärda verksamheter. Som huvudregel är säkerhetsskyddsavtalet kopplat till affärsavtalet genom att affärsavtalet görs beroende av att åliggandena i säkerhetsskyddsavtalet följs av leverantören (SOU 2015:25 s. 134).
Att ett säkerhetsskyddsavtal har slutits innebär inte i sig att säkerhetsskyddslagen blir tillämplig på leverantörens verksamhet. En leverantör som redan omfattas av säkerhetsskyddslagen kan inte genom villkor i ett säkerhetsskyddsavtal få mindre långtgående åligganden i fråga om säkerhetsskydd än vad som följer av lagen. Däremot kan ett säkerhetsskyddsavtal fylla funktionen att det preciserar säkerhetsskyddet hos leverantören för att passa den aktuella upphandlingen eller det aktuella avtalet.
1 Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 12. 2 Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 12.
120
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
När finns det en skyldighet att ingå ett säkerhetsskyddsavtal?
Enligt 2 kap. 6 § nya säkerhetsskyddslagen ska statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd ska tillgodoses av leverantören. Skyldigheten gäller om
1. det i upphandlingen förekommer säkerhetsskyddsklassificerade
uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. upphandlingen i övrigt avser eller ger leverantören tillgång till
säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Numera bedrivs säkerhetskänslig verksamhet ofta i enskild regi. Kraven på säkerhetsskydd gäller därför även enskilda verksamhetsutövare. Till skillnad från statliga myndigheter, kommuner och landsting omfattas enskilda aktörer i huvudsak inte av upphandlingslagstiftningen. När det gäller enskilda är skyldigheten att ingå säkerhetsskyddsavtal därför inte beroende av om ett avtal med en extern leverantör ingås efter ett upphandlingsförfarande eller inte. I stället gäller kravet på säkerhetsskyddsavtal även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer. Verksamhetsutövaren är inte bara skyldig att ingå säkerhetsskyddsavtal med en huvudleverantör utan också med eventuella underleverantörer.
3
Verksamhetsutövarna måste genom villkoren i säkerhetsskyddsavtalet inte bara skydda säkerhetsskyddsklassificerade uppgifter från obehörigt röjande, utan även skydda uppgifter och informationssystem ur ett riktighets- och tillgänglighetsperspektiv. Det innebär t.ex. att en verksamhetsutövare som ska upphandla programmeringstjänster för ett informationssystem som bedöms vara säkerhetskänsligt måste fundera över säkerhetsskydd när uppgifters riktighet och tillgänglighet är centrala förutsättningar för systemet. Så kan vara fallet när det handlar om informationssystem som är vitala för förmågan att upprätthålla kritiska samhällsfunktioner. Frågan om hur uppgifters riktighet och tillgänglighet ska skyddas hos leverantören behöver alltså tas om hand i säkerhetsskyddsavtalet.
3 Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 12.
121
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
Kravet på säkerhetsskyddsavtal enligt nya säkerhetsskyddslagen gäller inte bara avtal om varor, tjänster och byggentreprenader som direkt avser säkerhetskänslig verksamhet. Kravet gäller också när en leverantör kan få tillgång till säkerhetskänslig verksamhet utan att den avtalade tjänsten för den sakens skull gäller en säkerhetskänslig verksamhet. Det kan t.ex. vara fallet om en verksamhetsutövare träffar avtal med en leverantör som får tillgång till lokaler där säkerhetskänslig verksamhet bedrivs.
Kontroll och tillsyn över leverantören
Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet. Det finns dock även möjlighet för en myndighet som regeringen bestämmer att utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal (5 kap. 4 § andra stycket nya säkerhetsskyddslagen). Ett exempel på när det kan vara lämpligt är enligt förarbetena att det uppkommer situationer där tillsynsmyndigheten har tillgång till information om förestående eller pågående it-angrepp vilket gör att leverantörens informationssäkerhetsarbete behöver granskas (prop. 2017/18:89 s. 156).
Kontakter med utomstående som inte gäller anskaffning
Som vi har nämnt ovan gäller skyldigheten att ingå säkerhetsskyddsavtal enligt 2 kap. 6 § nya säkerhetsskyddslagen bara när verksamhetsutövaren avser att ingå avtal om varor, tjänster eller byggentreprenader. Att ingå sådana avtal om varor, tjänster eller byggentreprenader kallar vi i det följande för anskaffning.
I detta avsnitt ser vi närmare på vad som gäller när verksamhetsutövare ger utomstående tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet på annat sätt än genom anskaffning. Vi tänker oss att det exempelvis kan handla om olika former av samarbeten eller samverkan.
Begreppet utomstående används både i nya säkerhetsskyddslagen och i nya säkerhetsskyddsförordningen men definieras inte närmare. I förarbetena används begreppet utomstående i samband med uttalanden om säkerhetsskyddsavtalets förhållande till grundtanken att de intressen som säkerhetsskyddsregleringen slår vakt om ska ha
122
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Där sägs att när en utomstående aktör genom en upphandling engageras i säkerhetskänslig verksamhet, ska behovet av säkerhetsskyddsåtgärder enligt 2 kap. 1 § utredas och kraven på sådana åtgärder uppställas i ett säkerhetsskyddsavtal mellan parterna (se prop. 2017/18:89 s. 104). Enligt 2 kap. 6 § tredje stycket nya säkerhetsskyddslagen gäller skyldigheten att ingå säkerhetsskyddsavtal enligt första och andra styckena samma paragraf även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantörer. I förarbetena anges att paragrafen därmed inte bara gäller offentlig upphandling utan även när enskilda verksamhetsutövare ingår avtal med externa leverantörer, oavsett om dessa uttryckts skriftligt eller inte, exempelvis vid affärstransaktioner mellan två bolag i samma koncern (prop. 2017/18:89 s. 142).
Vad gäller då när verksamhetsutövaren ger utomstående aktörer tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet på annat sätt än genom anskaffning? I 3 kap. 1 § nya säkerhetsskyddslagen och 2 kap. 3 § nya säkerhetsskyddsförordningen finns det bestämmelser om vem som ska säkerhetsprövas och vem som får delta i den säkerhetskänsliga verksamheten. Som vi utvecklar i avsnitt 5.5 så menar vi att dessa bestämmelser gäller i fråga om anställda, praktikanter, uppdragstagare och andra som deltar i den egna säkerhetskänsliga verksamheten. Däremot torde de inte träffa utomstående, t.ex. personer som deltar i en myndighetssamverkan. Emellertid finns det vissa bestämmelser som gäller säkerhetsskyddsåtgärden informationssäkerhet som bl.a. gäller när säkerhetsskyddsklassificerade uppgifter tillgängliggörs för utomstående. Exempelvis krävs enligt 3 kap. 5 § nya säkerhetsskyddsförordningen att säkerhetsskyddsklassificerade uppgifter som ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll ska skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.
123
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
Kravet på säkerhetsskyddsavtal gäller inte den lägsta säkerhetsskyddsklassen
Enligt 2 kap. 5 § nya säkerhetsskyddslagen ska säkerhetsskyddsklassificerade uppgifter delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet. Ju allvarligare skadan kan bli av ett röjande, desto högre säkerhetsskyddsklass ska uppgiften placeras i. Den lägsta säkerhetsskyddsklassen är begränsat hemlig. Uppgifter ska placeras i denna klass om den skada som kan uppstå endast är ringa. Uppgiften placeras i klassen
konfidentiell vid en inte obetydlig skada, hemlig vid en allvarlig skada
och kvalificerat hemlig om skadan kan bli synnerligen allvarlig. Närmare föreskrifter om hur säkerhetsskyddsklassificering av uppgifter ska gå till meddelas i förordning eller myndighetsföreskrifter.
Om de säkerhetsskyddsklassificerade uppgifter som förekommer i en viss upphandling hör till kategorin begränsat hemlig finns det inte någon skyldighet att ingå ett säkerhetsskyddsavtal. Som framgått inledningsvis gäller denna skyldighet nämligen bara om det i upphandlingen förekommer uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Skälen för detta är bl.a. att säkerhetsskyddad upphandling med säkerhetsskyddsavtal kan föranleda kostnader. Det har också ansetts att behovet av ett säkerhetsskyddsavtal torde vara mindre om en upphandling berör uppgifter i den lägsta säkerhetsskyddsklassen (prop. 2017/18:89 s. 106). Det finns dock inget som hindrar att säkerhetsskyddsavtal ingås i de fall då upphandlingen eller avtalet omfattar uppgifter i säkerhetsskyddsklassen begränsat hemlig (prop. 2017/18:89 s. 106).
Utländska leverantörer
Säkerhetsskyddslagens krav på att verksamhetsutövaren ingår säkerhetsskyddsavtal gäller även för det fall leverantören har sin juridiska hemvist i ett annat land. Dock kan det var svårt att få in ett tillräckligt bra underlag för att verksamhetsutövaren ska kunna bedöma om den utländska leverantören är lämplig från ett säkerhetsperspektiv. Detta har utvecklats närmare i SOU 2015:25 s. 433–435.
124
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
Det finns också särskilda regler i 3 kap. 9 § andra stycket nya säkerhetsskyddsförordningen om utländska leverantörer. Enligt bestämmelsen får säkerhetsskyddsklassificerade uppgifter inte lämnas till en utländsk leverantör om inte Sverige har ingått en överenskommelse om säkerhetsskydd med den andra staten och leverantören godkänts genom en kontroll enligt den andras statens säkerhetsskyddslagstiftning.
Det kan tilläggas att det i första stycket samma paragraf finns en bestämmelse om säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet eller en mellanfolklig organisation. Bestämmelsen innebär att sådana uppgifter ska omfattas av ett internationellt säkerhetsskyddsåtagande hos den mottagande myndigheten eller organisationen, om det inte finns särskilda skäl för att sådana uppgifter ändå kan lämnas.
Uppdragets avslutande
När leverantören har fullgjort uppdraget som har omgetts av säkerhetsskydd ska verksamhetsutövaren säga upp säkerhetsskyddsavtalet, se 8 kap. 6 § Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2015:2) och 7 kap. 7 § Säkerhetspolisens föreskrifter och allmänna råd om säkerhetsskydd (PMFS 2015:3). Enligt den vägledning för säkerhetsskyddad upphandling som Säkerhetspolisen upprättat bör det finnas rutiner för vilka åtgärder som ska vidtas när ett säkerhetsskyddsavtal sägs upp.
4
Där anges vidare att det också är lämpligt att i säker-
hetsskyddsavtalet reglera vem som ska ansvara för dessa åtgärder. Myndigheten ska säkerställa att vad som avtalats om tystnadsplikt och sekretess i övrigt ska bestå (8 kap. 6 § FFS 2015:2 och 7 kap. 7 § PMFS 2015:3).
Anmälningsskyldighet m.m.
En enskild verksamhetsutövare som avser att ingå ett säkerhetsskyddsavtal ska utan dröjsmål anmäla det till sin tillsynsmyndighet (2 kap. 5 § nya säkerhetsskyddsförordningen). Anmälan syftar till
4 Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 15.
125
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
att uppmärksamma tillsynsmyndigheten på eventuellt behov av placering i säkerhetsklass och ska också utgöra underlag för myndighetens arbete med tillsyn över säkerhetsskyddet.
Alla verksamhetsutövare som ingår säkerhetsskyddsavtal är vidare skyldiga att anmäla det till Säkerhetspolisen (2 kap. 7 § nya säkerhetsskyddsförordningen). En sådan anmälan ska också göras när ett säkerhetsskyddsavtal upphör att gälla.
Något om tystnadsplikt
I 5 kap. 2 § första stycket nya säkerhetsskyddslagen finns en bestämmelse om tystnadsplikt för personer som på grund av anställning eller på annat sätt deltar eller har deltagit i säkerhetskänslig verksamhet hos en enskild verksamhetsutövare. Tystnadsplikten innebär att personen inte obehörigen får röja eller utnyttja säkerhetsskyddsklassificerade uppgifter som han eller hon fått del av. I andra stycket samma paragraf erinras det om att bestämmelsen inte gäller i det allmännas verksamhet, där man i stället tillämpar bestämmelserna i offentlighets- och sekretesslagen (2009:400, OSL).
Varken bestämmelsen i 5 kap. 2 § nya säkerhetsskyddslagen eller reglerna i OSL tar sikte på enskilda leverantörer som verksamhetsutövaren har ingått säkerhetsskyddsavtal med. Det vanliga förfarandet har hittills varit att verksamhetsutövaren i avtal ställer krav på att leverantören i sin tur ingår individuella sekretessförbindelser med sina medarbetare där de förbinder sig att inte avslöja eller på annat sätt sprida säkerhetsskyddsklassificerade uppgifter som de tar del av när de utför sina arbetsuppgifter (SOU 2018:25 s. 354). Medarbetarnas sekretessförbindelser gäller i förhållande till arbetsgivaren och en eventuell överträdelse kan inte leda till ansvar för brott mot tystnadsplikt. Som nyss sagts åligger det verksamhetsutövaren att se till att det som avtalats om sekretess och tystnadsplikt ska bestå även efter det att säkerhetsskyddsavtalet har sagts upp.
126
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
5.3 Förhållandet mellan säkerhetsskyddslagen och offentlighets- och sekretesslagen
I en diskussion om en utvidgning av skyldigheten att ingå säkerhetsskyddsavtal är det relevant att undersöka om behovet av skydd för säkerhetskänslig verksamhet kan uppnås på något annat och mindre ingripande sätt, t.ex. genom regler om sekretess och tystnadsplikt. Den grundläggande sekretessregleringen finns i OSL, men det finns också särskilda regler om tystnadsplikt i annan lagstiftning, däribland i 5 kap. 1 och 2 §§ nya säkerhetsskyddslagen.
Det finns ett tydligt samband mellan OSL och säkerhetsskyddslagen, eftersom förutsättningen för att en uppgift ska vara säkerhetsskyddsklassificerad är att den rör säkerhetskänslig verksamhet och därför omfattas av sekretess enligt OSL, eller skulle ha omfattats av sekretess om den lagen hade varit tillämplig (1 kap. 2 § andra stycket nya säkerhetsskyddslagen). Det sista ledet i bestämmelsen tar sikte på enskilda verksamhetsutövare som normalt inte omfattas av OSL:s regler.
OSL innehåller bl.a. bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Dessa bestämmelser avser förbud att röja uppgifter, vare sig detta sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Bestämmelserna innebär begränsningar i yttrandefriheten enligt regeringsformen, begränsningar i den rätt att ta del av allmänna handlingar som följer av tryckfrihetsförordningen samt, i vissa särskilt angivna fall, även begränsningar i den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Lagen innehåller alltså både regler om handlingssekretess och tystnadsplikt.
I 2 kap. 2 § tryckfrihetsförordningen finns en uttömmande uppräkning av de intressen som får skyddas genom begränsningar av rätten att ta del av allmänna handlingar, de s.k. sekretessgrunderna. Sådana intressen är bl.a. hänsynen till rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation. Vilka handlingar som omfattas av en begränsning i handlingsoffentligheten ska anges noga i OSL. Det är även tillåtet att ta in sådana bestämmelser i andra lagar under förutsättning att OSL hänvisar dit. Den möjligheten har utnyttjats i ett fåtal lagar.
127
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
En uppgift för vilken sekretess gäller enligt OSL får inte röjas för enskilda eller för andra myndigheter, om inte annat anges i lagen eller i någon lag eller förordning som OSL hänvisar till (8 kap. 1 § OSL). Sekretess gäller även inom olika verksamhetsgrenar i en myndighet, när de är att betrakta som självständiga i förhållande till varandra (8 kap. 2 § OSL). Av det sagda följer att sekretessreglerna syftar till att skapa ett skydd för uppgifters konfidentialitet.
Även säkerhetsskyddsregleringen har bl.a. som syfte att värna konfidentialiteten hos vissa slags uppgifter, nämligen säkerhetsskyddsklassificerade uppgifter. Men regleringen har ett bredare syfte än så. Detta framgår bl.a. av bestämmelserna om säkerhetsskyddsåtgärden informationssäkerhet, där det anges att informationssäkerhet inte bara ska förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, utan också att de ändras, görs otillgängliga eller förstörs samt förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet. Informationssäkerhet kan bl.a. bestå i krav som ställs på hur säkerhetsskyddsklassificerade uppgifter får hanteras och på säkerheten i informationssystem där sådana uppgifter behandlas. Dessutom är verksamhetsutövarna skyldiga att vidta andra säkerhetsskyddsåtgärder som ytterst syftar bl.a. till att skydda säkerhetsklassificerade uppgifter. Verksamhetsutövarna ska nämligen förebygga att obehöriga får tillträde till platser där de kan få tillgång till säkerhetsklassificerade uppgifter (fysisk säkerhet). De ska även vidta personalsäkerhetsåtgärder som ska förebygga att personer som inte är pålitliga deltar i en verksamhet där de kan få tillgång till sådana uppgifter (personalsäkerhet). Sekretessregleringen innehåller inga bestämmelser med sådana syften.
En annan viktig skillnad mellan sekretessregleringen och säkerhetsskyddsregleringen är att den förstnämnda är inriktad på hemlighållande av de sekretessbelagda uppgifterna i enskilda fall medan säkerhetsskyddsregleringen är inriktad mot att skapa ett förebyggande skydd i verksamheten genom de samverkande säkerhetsskyddsåtgärderna informationssäkerhet, fysisk säkerhet och personalsäkerhet. En verksamhet kan vara säkerhetskänslig utan att den hanterar några säkerhetsskyddsklassificerade uppgifter.
128
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
5.4 Skyldigheten att ingå säkerhetsskyddsavtal bör utvidgas
Förslag: Skyldigheten att ingå säkerhetsskyddsavtal utvidgas på
så sätt att den gäller även andra förfaranden än upphandlingar och andra anskaffningar. Den utvidgade skyldigheten innebär att den som bedriver säkerhetskänslig verksamhet ska ingå ett säkerhetsskyddsavtal så snart verksamhetsutövaren avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part, om förfarandet
1. innebär att den utomstående parten kan få tillgång till säker-
hetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. i övrigt avser eller kan ge den utomstående parten tillgång till
säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Skyldigheten att ingå säkerhetsskyddsavtal gäller inte samarbeten och samverkan mellan två eller flera statliga myndigheter som avser något annat än en anskaffning av varor, tjänster och byggentreprenader.
Regeringen bemyndigas att föreskriva om undantag från skyldigheten att ingå säkerhetsskyddsavtal och får även besluta om undantag i enskilda fall.
5.4.1 Utgångspunkter för våra överväganden
Skyldigheten att ingå säkerhetsskyddsavtal omfattar enligt 2 kap. 6 § nya säkerhetsskyddslagen dels offentliga verksamhetsutövare som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader, dels enskilda verksamhetsutövare som ingår ett sådant avtal som nyss sagts med en utomstående leverantör. Vårt uppdrag är att överväga om skyldigheten bör gälla även i andra situationer och i så fall vilka. En viktig utgångspunkt för våra resonemang är då vilka situationer som kan vara känsliga från säkerhetssynpunkt och som inte redan omfattas av skyldigheten att ingå
129
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
ett säkerhetsskyddsavtal. Vi syftar då på situationer där verksamhetsutövare som bedriver säkerhetskänslig verksamhet ingår avtal eller på något annat sätt samarbetar eller samverkar med utomstående på ett sätt som medför att den utomstående parten kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Med ett samlat uttryck beskriver vi dessa situationer som sådana situationer där uppgifterna eller verksamheten exponeras för någon utomstående.
Gränsdragningen mellan samverkan och samarbete är inte knivskarp. Oftast brukar ordet samverkan användas för att beskriva t.ex. gemensamt utbyte av information eller planering av gemensamma aktiviteter, medan samarbete brukar beskriva en mer integrerad gemensam aktivitet. I det följande använder vi för enkelhets skull ofta ordet samverkan som ett samlat begrepp, och avser då även sådana mer integrerade aktiviteter som brukar benämnas samarbete.
5.4.2 Situationer där avsaknaden av säkerhetsskyddsavtal kan medföra negativa konsekvenser
Inledning
När säkerhetsskyddslagen (1996:627), i det följande kallad gamla
säkerhetsskyddslagen, kom till var det naturligt att koppla skyldig-
heten att ingå säkerhetsskyddsavtal till upphandlingssituationer. Sedan dess har det dock skett stora förändringar när det gäller olika former av samverkan, särskilt mellan myndigheter och enskilda rättssubjekt. Sådan samverkan kan involvera säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet. Våra överväganden börjar därför med en diskussion om olika situationer där det enligt den nya säkerhetsskyddslagen inte finns, eller eventuellt inte finns, en skyldighet att ingå säkerhetsskyddsavtal och där detta kan medföra negativa konsekvenser från säkerhetsskyddssynpunkt.
En annan problematik hänger samman med att regleringen om säkerhetsskyddsavtal utgår från beställarens skyddsvärden och att kraven på säkerhetsskydd i ett säkerhetsskyddsavtal gäller leverantören. Det har uppmärksammats att situationen också kan vara den omvända, dvs. att leverantörens skyddsvärden kan behöva skyddas hos beställaren. Vi tar även upp denna fråga.
130
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
Samverkan som inte rör anskaffning
Den nya säkerhetsskyddslagens bestämmelser innebär att skyldigheten att ingå ett säkerhetsskyddsavtal bara gäller när det är fråga om ett avtal om varor, tjänster eller byggentreprenader från en (utomstående) leverantör. För offentliga verksamhetsutövare krävs det dessutom att det är fråga om en upphandling. I förarbetena till 2 kap. 6 § nya säkerhetsskyddslagen anges det att man med upphandling brukar avse åtgärder i syfte att anskaffa en vara, tjänst eller byggentre-
prenad från en leverantör (prop. 2017/18:89 s. 105). Reglerna om
säkerhetsskyddsavtal tar alltså enbart sikte på anskaffningar och inte på andra typer av samverkan.
Som anges i våra direktiv förekommer det numera att offentliga och enskilda aktörer samverkar på många fler sätt än vid offentliga upphandlingar. Exempel på samverkan där det många gånger inte är fråga om en offentlig upphandling eller annan anskaffning är samverkan och samarbete inom ramen för forskning, t.ex. när det gäller utveckling av försvarsmateriel eller it-system. Ett annat exempel kan vara samverkan inom ramen för arbetet med informations- och cybersäkerhet. Vid samverkan av de angivna slagen kan säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet behöva exponeras för den utomstående part som verksamhetsutövaren samverkar med. Den utomstående parten är ofta en juridisk person, t.ex. ett företag, men man kan också tänka sig samarbeten med exempelvis enskilda forskare utan anknytning till någon juridisk person. Om den utomstående parten inte vidtar tillräckliga säkerhetsskyddsåtgärder kan det innebära sårbarheter för att Sveriges säkerhet. Ett exempel på detta kan vara att den utomstående parten inte vidtar de informationssäkerhetsåtgärder som behövs för att förhindra att obehöriga får tillgång till säkerhetsskyddsklassificerade uppgifter som parten fått del av inom ramen för samverkan. Det kan därför vara problematiskt att det inte finns någon skyldighet för verksamhetsutövaren att ingå ett säkerhetsskyddsavtal där det klargörs hur den utomstående parten ska tillgodose kraven på säkerhetsskydd.
131
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
Anskaffningar mellan statliga myndigheter
För offentliga verksamhetsutövare gäller kravet på säkerhetsskyddsavtal i vissa fall när de avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader (2 kap. 6 § första stycket nya säkerhetsskyddslagen). En särskild fråga är vad kravet på att det ska finnas en avsikt att ingå ett avtal innebär i fråga om anskaffningar inom en och samma juridiska person. Det tydligaste exemplet är när en statlig myndighet anskaffar en vara, tjänst eller byggentreprenad från en annan statlig myndighet. Statliga myndigheter ingår i den juridiska personen staten. Detta har i olika sammanhang ansetts innebära att statliga myndigheter inte kan ingå avtal i civilrättslig mening med varandra, eftersom man inte kan ingå avtal med sig själv (se bl.a. SOU 1994:136 s. 181).
Frågan om hur man ska se på möjligheten att ingå avtal i civilrättslig mening med andra enheter inom samma juridiska person får även konsekvenser för upphandlingslagstiftningens tillämplighet. Med upphandling avses nämligen de åtgärder som vidtas i syfte att anskaffa varor, tjänster eller byggentreprenader genom tilldelning av
kontrakt (1 kap. 2 § lagen [2016:1145] om offentlig upphandling,
LOU). Med kontrakt avses ett skriftligt avtal med ekonomiska villkor som ingås mellan en eller flera upphandlande myndigheter och en eller flera leverantörer, och som avser leverans av varor, tillhandahållande av tjänster eller utförande av byggentreprenader (1 kap. 15 § LOU). Upphandlingsreglerna ska dock tillämpas även om upphandlingen inte utmynnar i ett skriftligt avtal (prop. 2015/16:195 s. 321). Det framgår av förarbetena till nya säkerhetsskyddslagen att även upphandlingar som ska undantas från upphandlingslagstiftningens regelverk omfattas av kravet på säkerhetsskyddsavtal (prop. 2017/18:89 s. 105). Att något av undantagen i t.ex. LOU ska tillämpas innebär alltså inte att verksamhetsutövaren är undantagen från kravet på säkerhetsskyddsavtal enligt 2 kap. 6 § nya säkerhetsskyddslagen. Däremot är det oklart om det kan anses vara fråga om en upphandling enligt säkerhetsskyddslagen om en viss anskaffning över huvud taget inte faller inom upphandlingslagstiftningens tillämpningsområde.
Kammarrätten i Stockholm har i ett relativt färskt avgörande uttalat att den tidigare gällande lagen (2007:1091) om offentlig upphandling var tillämplig på en överenskommelse mellan Kungliga
132
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
biblioteket och Riksarkivet om digitalisering av pliktlevererade dagstidningar (dom den 23 juni 2017 i mål nr 7355–16). Kammarrätten ansåg att den omständigheten att både Kungliga biblioteket och Riksarkivet är del av den juridiska personen staten inte automatiskt medför att avtalet mellan myndigheterna inte kunde utgöra ett kontrakt enligt upphandlingsregleringen. Kammarrätten menade i stället att myndigheterna, bl.a. med hänsyn till att de tillhör olika departement och har olika myndighetsinstruktioner, måste betraktas som formellt fristående från varandra. Domen överklagades till Högsta förvaltningsdomstolen som inte meddelade prövningstillstånd (mål nr 4106–17).
I avsaknad av prejudikat framstår rättsläget i fråga om upphandlingslagstiftningens tillämplighet på anskaffningar mellan statliga myndigheter alltjämt som oklart. Den bilden bekräftas i den kartläggning som genomförts under arbetet med betänkandet Juridik
som stöd för förvaltningens digitalisering (SOU 2018:25). Det är också
osäkert vad som ska läggas i säkerhetsskyddslagens krav på avtal vid sådana anskaffningar. Om kravet på säkerhetsskyddsavtal inte gäller för vissa anskaffningar finns det enligt vår mening en fara för att kraven på säkerhetsskydd inte upprätthålls i sådana fall. Redan den omständigheten att rättsläget är oklart kan leda till olika tolkningar, vilket också kan medföra sådana konsekvenser.
Direktåtkomst till it-system med stöd av lag
Det finns it-system i säkerhetskänslig verksamhet till vilka myndigheter eller enskilda har eller kan få direktåtkomst med stöd av lag, t.ex. polisdatalagen (2010:361) och lagen (2001:558) om vägtrafikregister. Den utomstående aktören får alltså möjlighet att direkt från sin egen tekniska utrustning ta del av innehållet i databasen eller registret. Sådan direktåtkomst till it-system i säkerhetskänslig verksamhet som medgetts med stöd av lag omfattas inte av bestämmelserna om säkerhetsskyddad upphandling. Detta följer redan av att det inte handlar om någon upphandlingssituation. Dessutom är det ofta ”leverantören”, dvs. den myndighet som tillhandahåller itsystemet för direktåtkomst, vars skyddsvärden kan behöva skyddas genom säkerhetsskyddsåtgärder hos den som får direktåtkomst till systemet, dvs. ”beställaren” i denna situation. Som framgått tidigare
133
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
gäller regleringen inte för sådana situationer, utan enbart när det är en beställare som har anledning att ställa krav på att en leverantör ska vidta säkerhetsskyddsåtgärder. Om den utomstående aktören genom direktåtkomst får möjlighet att ta del av säkerhetsskyddsklassificerade uppgifter, eller stora mängder andra uppgifter som kan sammanställas och bearbetas på ett sätt som gör att de sammantagna blir säkerhetskänsliga (jfr resonemangen i prop. 2017/18:89 s. 45), kan det vara problematiskt att det inte finns någon skyldighet att ingå ett säkerhetsskyddsavtal med villkor exempelvis om vilken personal som får ta del av uppgifterna. Det bör emellertid tilläggas att man många gånger kan undvika problem med uppgifter som blir känsliga i aggregerad form, om det finns tydliga begränsningar av vilka uppgifter som en viss anställd får tillgång till.
Situationer där leverantörens skyddsvärden behöver skyddas
Säkerhetsskyddsavtalets främsta funktion är att slå vakt om att de intressen som lagstiftningen har att skydda även upprätthålls av leverantörer. Detta sker enligt 2 kap. 6 § nya säkerhetsskyddslagen genom att beställaren i avtalet specificerar vilka säkerhetsskyddskrav som ska uppfyllas av leverantören. Säkerhetsskyddskraven på leverantörer utgår alltså från beställarens kunskap om skyddsvärdena i den egna verksamheten och vad som behövs för att leverantören ska upprätthålla dem. Säkerhetsskyddsavtalet verkar däremot inte i motsatt riktning i den meningen att avtalet också ska tillgodose leverantörens behov av säkerhetsskydd i beställarens verksamhet.
Under remitteringen av betänkandet En ny säkerhetsskyddslag (SOU 2015:25) har det uppmärksammats att det numera lika väl kan vara leverantören som ägnar sig åt säkerhetskänslig verksamhet. Det förekommer exempelvis att myndigheter som omfattas av säkerhetsskyddslagen levererar varor och tjänster till enskilda rättssubjekt eller till andra myndigheter. Givetvis förekommer det även att enskilda verksamhetsutövare enligt säkerhetsskyddslagen levererar varor och tjänster till enskilda rättssubjekt och myndigheter. I de angivna fallen har verksamhetsutövaren, i egenskap av leverantör, ingen möjlighet att kräva ett säkerhetsskyddsavtal där det anges hur kraven på säkerhetsskydd ska tillgodoses av beställaren.
134
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
Några praktiska exempel
En situation där leverantörens skyddsvärden kan vara sårbara är när verksamhetsutövare som bedriver säkerhetskänslig verksamhet upplåter en fastighet, lokal eller anläggning – kanske inklusive tekniska resurser – åt någon utomstående part. Upplåtaren får i det fallet betraktas som leverantör. Det finns exempel på såväl offentliga som enskilda verksamhetsutövare med höga skyddsvärden som upplåter hela eller delar av fastigheter till enskilda rättssubjekt. Ett exempel är upplåtelse av plats i skyddsrum eller bergrum till en myndighet eller enskild. Ett annat exempel är att en verksamhetsutövare ger någon utomstående aktör möjlighet att använda ett laboratorium, och att den utomstående aktören därigenom kan få insyn i den säkerhetskänsliga verksamhet som bedrivs i laboratoriet. I dessa fall är hyresvärden i egenskap av leverantör i förhållande till hyresgästerna, inte skyldig att ingå ett säkerhetsskyddsavtal med dem. Konsekvenser av bristande säkerhetsskydd i samband med upplåtelser är en av de frågor som uppmärksammas i våra direktiv.
En annan situation kan vara att myndigheter eller andra verksamhetsutövare som bedriver säkerhetskänslig verksamhet fungerar som leverantörer av varor. Detta är t.ex. en viktig del av den verksamhet som bedrivs av Försvarets materielverk. Det behöver inte vara fråga om att äganderätten övergår genom en försäljning, utan det kan också vara fråga om en upplåtelse. Det kan handla om överlåtelse eller upplåtelse av t.ex. stridsflygplan eller annan lös egendom med höga skyddsvärden. Vi anser att det vid en sådan försäljning eller upplåtelse kan finnas ett behov av att klargöra för beställaren hur olika skyddsvärden ska upprätthållas under t.ex. ett upphandlingsförfarande, en avtalsförhandling eller i samband med leveransen eller under avtalstiden. Trots det finns det inget krav på att verksamhetsutövaren i egenskap av leverantör genom ett säkerhetsskyddsavtal ställer upp krav på säkerhetsskyddet hos beställaren.
Avsaknaden av krav på säkerhetsskyddsavtal kan leda till sårbarheter och skador för Sveriges säkerhet
Eftersom leverantören i våra exempel ovan inte omfattas av kravet på att ingå ett säkerhetsskyddsavtal med beställaren, finns det en fara att leverantörens skyddsvärden inte får ett tillräckligt skydd. Det kan
135
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
visserligen vara så att även beställaren bedriver säkerhetskänslig verksamhet och således omfattas direkt av säkerhetsskyddslagens krav på säkerhetsskyddsåtgärder. Beställarens eller hyresgästens egna säkerhetsskyddsåtgärder liksom eventuella säkerhetsskyddsavtal som ingås efter krav från denne utgår emellertid från den kunskap som beställaren har om den egna verksamhetens skyddsvärden. Åtgärderna handlar alltså inte om leverantörens skyddsvärden. Dessutom saknar beställaren som regel kunskap om vilka skyddsvärden som finns hos leverantören. Den omständigheten att en beställare omfattas av regleringen och kanske också av en skyldighet att i ett säkerhetsskyddsavtal ange hur leverantören ska tillgodose kraven på säkerhetsskydd kompenserar därför inte för avsaknaden av ett krav på säkerhetsskyddsavtal till skydd för leverantörens skyddsvärden.
5.4.3 Skyldigheten att ingå säkerhetsskyddsavtal bör utgå från exponeringen av säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet
Kravet på säkerhetsskyddsavtal bör inte vara begränsat till upphandling eller andra anskaffningar
Som tidigare framgått är det en grundläggande princip inom säkerhetsskyddet att de intressen som lagstiftningen slår vakt om ska ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda (se t.ex. prop. 1995/96:129 s. 34). En naturlig konsekvens av denna princip är att informationens eller verksamhetens skyddsvärde ska upprätthållas när en aktör som bedriver säkerhetskänslig verksamhet avser att ge någon utomstående tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Detta framhålls också i våra direktiv. Regleringen om säkerhetsskyddsavtal i 2 kap. 6 § nya säkerhetsskyddslagen bygger på denna tanke och är tillämplig just när säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet ska exponeras för någon utomstående. Regleringen är dock begränsad till vissa situationer, nämligen till situationer där en verksamhetsutövare som omfattas av lagen avser att anskaffa en vara, tjänst eller byggentreprenad av en leverantör.
136
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
Som vi tidigare nämnt finns det numera ett antal situationer där utomstående aktörer kan få del av säkerhetsskyddsklassificerade uppgifter eller i övrigt få tillgång till säkerhetskänslig verksamhet utan att det är fråga om en anskaffning. I takt med samhällsutvecklingen kan nya sådana situationer uppstå. Det finns också fall där det visserligen är fråga om en anskaffning, men där behovet av säkerhetsskydd gäller för leverantörens säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänsliga verksamhet. I sådana fall gäller det inte någon skyldighet för leverantören att kräva att beställaren undertecknar ett säkerhetsskyddsavtal där det anges hur beställaren ska tillgodose kravet på säkerhetsskydd. Slutligen finns det situationer där det är osäkert om det gäller ett krav på säkerhetsskyddsavtal, i synnerhet vid anskaffningar mellan olika statliga myndigheter.
Om det inte ställs krav på säkerhetsskyddsavtal i alla relevanta situationer där säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet ska exponeras för utomstående, ökar sannolikheten för att motparten inte vidtar de säkerhetsskyddsåtgärder som behövs. Detta gäller även om den utomstående parten också bedriver säkerhetskänslig verksamhet och därmed omfattas av säkerhetsskyddslagens bestämmelser. Avsaknad av säkerhetsskyddsavtal kan ytterst innebära sårbarheter och skador för Sveriges säkerhet.
Det sagda talar starkt för att skyldigheten att träffa ett säkerhetsskyddsavtal inte bör vara begränsad till offentlig upphandling och andra anskaffningar. Det bör framhållas i sammanhanget att regleringen om offentlig upphandling har helt andra syften än säkerhetsskyddsregleringen. Reglerna om offentlig upphandling, som delvis styrs av EU-direktiv, syftar bl.a. till att främja ett kostnadseffektivt användande av skattemedel genom att ta tillvara konkurrensen på marknaden och att säkerställa att offentlig upphandling överensstämmer med principerna i fördraget om Europeiska unionens funktionssätt.
5
Säkerhetsskyddslagstiftningen, som är en rent natio-
nell reglering, är i stället ämnad att skydda Sveriges säkerhet från i första hand antagonistiska hot (prop. 2017/18:89 s. 1). Även dessa viktiga skillnader mellan säkerhetsskyddsregleringen och regleringen om offentlig upphandling talar för att det inte är ändamålsenligt att koppla kravet på säkerhetsskyddsavtal till just upphandling, även om
5 Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG.
137
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
upphandling naturligtvis är en situation där det vid behov bör gälla en skyldighet att träffa ett säkerhetsskyddsavtal.
I stället bör exponeringen av information eller verksamhet vara avgörande
Med hänsyn till det som anförts under föregående rubrik är vår bedömning att kravet på säkerhetsskyddsavtal inte bör begränsas till upphandling eller någon viss typ av avtal eller förfarande. För denna bedömning talar också risken för att en reglering som är inriktad på t.ex. en viss typ av förfarande eller avtal blir överspelad. I stället bör skyldigheten att ingå säkerhetsskyddsavtal knytas till sådana omständigheter som framhålls i direktiven, dvs. att en verksamhetsutövare som bedriver säkerhetskänslig verksamhet avser att ge någon utomstående tillgång till säkerhetsskyddsklassificerade uppgifter, eller i övrigt ge någon utomstående tillgång till säkerhetskänslig verksamhet.
Av det anförda följer att verksamhetsutövaren som utgångspunkt bör vara skyldig att ingå ett säkerhetsskyddsavtal oavsett om denne är leverantör eller beställare och oavsett vilken typ av avtal, samverkan eller samarbete det är fråga om. Reglerna bör alltså gälla såväl vid upphandling och ingående av avtal som vid andra former av samarbeten och samverkan.
Det sagda innebär att båda parter i ett avtal eller samarbete bör kunna vara skyldiga att i ett säkerhetsskyddsavtal ställa krav på säkerhetsskyddet hos den andre.
Exponering av säkerhetskänslig verksamhet på grund av författning
I föregående avsnitt har vi gjort bedömningen att skyldigheten att ingå säkerhetsskyddsavtal som utgångspunkt bör gälla såväl vid upphandling och ingående av avtal som vid andra former av samarbeten och samverkan, förutsatt att verksamhetsutövaren – oavsett om denne är beställare eller leverantör – genom förfarandet ifråga exponerar säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet för någon utomstående.
138
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
En typ av förfarande som kan ta sig olika uttryck, och som därmed kan vara svårt att klassificera, är när verksamhetsutövare lämnar ifrån sig säkerhetsskyddsklassificerade uppgifter eller ger tillgång till i övrigt säkerhetskänslig verksamhet på grund av författ-
ning. En sådan situation kan vara myndigheter som har till uppgift
att samarbeta eller samverka med varandra, t.ex. genom utbyte av uppgifter. En myndighet kan exempelvis vara skyldig att låta utomstående få tillgång till vissa register som myndigheten ansvarar för. Ett annat exempel kan vara att myndigheter är skyldiga att utnyttja en viss tjänst, eller har rätt att begära att någon utför en viss tjänst, och att detta innebär att säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt exponeras för den som utför tjänsten. Vår uppfattning är att även sådana situationer som nu beskrivits utgör en form av avtal, samarbete eller samverkan, och att det kan finnas ett behov av att parterna kommer överens om vilket säkerhetsskydd som behövs. Den omständigheten att lagstiftaren gjort bedömningen att en viss samverkan ska äga rum betyder inte att frågan om vilket säkerhetsskydd som kan behövas har fått sin lösning eller ens har övervägts. Som utgångspunkt anser vi därför att skyldigheten att ingå säkerhetsskyddsavtal bör gälla även för avtal, samarbeten och samverkan som följer av författning. Vissa undantag är dock befogade, vilket vi utvecklar i avsnitt 5.4.4 och 5.4.6.
En situation som dock inte bör omfattas av begreppen avtal, samarbete eller samverkan är när en myndighet har makt att med tvång bereda sig tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Vi tänker då främst på åtgärder som kan vidtas inom ramen för tillsyn eller brottsutredningar. Det kan t.ex. handla om husrannsakan, beslag eller motsvarande åtgärder. Det rör sig då inte om något som språkligt kan betecknas som ett avtal, ett samarbete eller en samverkan. Redan därför framstår det som mindre naturligt att ställa krav på att det ska ingås ett säkerhetsskyddsavtal. Vidare framstår det som svårt att genomföra praktiskt, särskilt i de fall där det krävs skyndsamhet eller där det är viktigt att den som åtgärden vidtas hos inte underrättas i förväg. Vi bedömer därför att övervägande skäl talar för att skyldigheten att träffa säkerhetsskyddsavtal inte bör gälla i de angivna situationerna. Detta behöver inte anges särskilt utan framgår av att det inte är fråga om avtal, samarbete eller samverkan.
139
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
Det bör inte krävas någon särskild varaktighet
Under vårt arbete har frågan aktualiserats om det bör krävas att en samverkan eller ett samarbete har någon viss varaktighet eller stabilitet för att omfattas av skyldigheten att ingå ett säkerhetsskyddsavtal. Ett skäl för en sådan ordning är att det kan framstå som onödigt omständligt och kostnadsdrivande att ställa sådana krav vid mer lösliga och kortvariga former av samverkan eller samarbete. Vår bedömning är dock att en sådan begränsning av skyldigheten att ingå säkerhetsskyddsavtal inte bör införas. Om samverkan eller samarbetet är mycket kortvarigt eller lösligt får det förmodas att det många gånger inte heller medför att den utomstående parten får tillgång till verksamheten eller uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. I så fall bör det, liksom vid upphandling i motsvarande fall, inte krävas ett säkerhetsskyddsavtal. Men om samverkan eller samarbetet innebär att sådana uppgifter eller i övrigt säkerhetskänslig verksamhet på motsvarande nivå exponeras för den utomstående parten, menar vi att behovet av säkerhetsskydd är lika stort som om det varit fråga om ett mer långvarigt och fast samarbete. Man kan t.o.m. hävda att behovet kan vara större, eftersom det i ett långvarigt samarbete kan finnas en högre grad av ömsesidig lojalitet och förståelse för den andra partens verksamhet och skyddsvärden.
Inget krav på säkerhetsskyddsavtal i den lägsta säkerhetsskyddsklassen
Som nämnts i avsnitt 5.1 har vi inte övervägt om kravet på säkerhetsskyddsavtal bör gälla i fråga om uppgifter i säkerhetsskyddsklassen begränsad, eller om verksamhet av motsvarande betydelse för Sveriges säkerhet. Vi föreslår alltså inte några ändringar i detta avseende.
Sammanfattande bedömning
Sammanfattningsvis gör vi bedömningen att skyldigheten att kräva säkerhetsskyddsavtal som utgångspunkt bör gälla i alla fall där en verksamhetsutövare enligt säkerhetsskyddslagen avser att genomföra
140
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part, om förfarandet
1. innebär att den utomstående parten kan få tillgång till säkerhets-
skyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. i övrigt avser eller kan ge den utomstående parten tillgång till
säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Det kan dock finnas skäl för vissa undantag i fall där kraven på säkerhetsskydd kan tillgodoses även utan ett säkerhetsskyddsavtal. Vi diskuterar detta i avsnitten 5.4.4 och 5.4.6.
5.4.4 Samverkan och samarbeten mellan statliga myndigheter bör undantas i vissa fall
Det finns inte behov av ett generellt krav på säkerhetsskyddsavtal vid samverkan och samarbeten mellan statliga myndigheter
En situation där man kan diskutera om det är nödvändigt med säkerhetsskyddsavtal är samverkan och samarbete mellan statliga myndigheter som inte rör en anskaffning av varor, tjänster eller byggentreprenader. Sådana anskaffningar ger upphov till särskilda överväganden, varför vi diskuterar dem särskilt. Tills vidare talar vi därför bara om andra former av samverkan och samarbeten mellan statliga myndigheter. Sådan samverkan och sådana samarbeten kan ha många former. I vissa fall kan det handla om enstaka eller regelbundna avstämningar eller om överföring eller utbyte av information. I andra fall kan det handla om mer långvariga samarbeten eller samverkan på ett visst område och mot ett gemensamt mål. Skyldigheten att samverka kan följa av författning eller regeringsbeslut, men kan också ske på myndigheternas eget initiativ som ett led i strävan att på bästa sätt utföra myndigheternas uppdrag. Om en myndighet som är verksamhetsutövare enligt säkerhetsskyddslagen samverkar med en annan myndighet finns det varken enligt gamla eller nya säkerhetsskyddslagen någon skyldighet att ingå ett säkerhetsskyddsavtal.
141
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
Enligt vår mening finns det starka skäl som talar mot att det införs en generell skyldighet att ingå säkerhetsskyddsavtal vid samverkan och samarbete mellan statliga myndigheter. Först och främst bör det beaktas att statliga myndigheter hör till samma juridiska person, nämligen staten, och att de därmed företräder samma övergripande intresse även om myndigheterna givetvis har olika uppdrag. En statlig myndighet företräder inte i första hand lokala eller regionala intressen, som i vissa fall kan stå i strid med nationella intressen. I detta avseende skiljer sig myndighetssamverkan från överenskommelser om anskaffningar av olika slag, t.ex. försäljning av varor och tjänster. Vid utkontraktering och andra anskaffningar kan det inte sällan finnas intressen – inte minst effektivitetsskäl – som kan stå i motsats till kraven på säkerhetsskydd. När statliga myndigheter däremot samverkar om annat än anskaffningar är risken betydligt mindre för att det finns sådana mot säkerhetsskyddet stridande intressen.
Ett annat skäl som talar för att det inte ställs ett generellt krav på säkerhetsskyddsavtal vid myndighetssamverkan är att det på båda sidor handlar om en verksamhet som i hög grad är regelstyrd. Som nämnts inledningsvis följer många gånger en skyldighet att samverka av författning eller regeringsbeslut.
Det anförda talar för att det inte finns något påtagligt behov av en generell skyldighet att ingå säkerhetsskyddsavtal i de fall som nu diskuteras. Även de uppgifter som våra experter och sakkunniga lämnat talar för att det inte finns något påtagligt sådant behov. Enligt deras uppgifter brukar man nämligen hantera säkerhetsskyddet vid samverkan mellan statliga myndigheter på ett tillfredsställande sätt även utan säkerhetsskyddsavtal. Lösningen anpassas som regel till behoven i det enskilda fallet. I vissa fall kan det bli fråga om att myndigheterna skriver en överenskommelse som liknar ett säkerhetsskyddsavtal. I andra fall sker det genom att man på annat sätt kommer överens om hur behovet av säkerhetsskydd ska tillvaratas, t.ex. genom att man bestämmer vilka personer som får delta i samverkan och att dessa ska vara placerade i viss säkerhetsklass eller genom att man ställer krav på säkerheten i möteslokalerna och vilken teknisk utrustning som får förekomma vid mötena. Det anförda talar för att man i centrala avseenden kan tillvarata behovet av säkerhetsskydd genom organisatoriska och andra åtgärder, utan att det behöver ingås ett säkerhetsskyddsavtal.
142
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
Till det ovanstående kommer att myndighetssamverkan bör ses i ljuset av att båda samverkansparter omfattas av regleringen i OSL. Avsaknaden av säkerhetsskyddsavtal innebär därför inte att säkerhetsskyddsklassificerade uppgifter helt saknar skydd vid samverkan och samarbeten mellan statliga myndigheter. De säkerhetsskyddsklassificerade uppgifter som det handlar om är normalt sådana att de kan omfattas av sekretess oavsett i vilken verksamhet de förekommer (se t.ex. 15 kap. 1 och 2 §§ OSL om utrikes- respektive försvarssekretess). Uppgifter som en verksamhetsutövare delar med sig av till en annan myndighet inom ramen för en myndighetssamverkan eller liknande kommer alltså regelmässigt att ha samma sekretesskydd hos mottagaren. Myndigheter är som regel vana vid att hantera sekretessbelagd information och har normalt rutiner för hur så ska ske.
En generell skyldighet att ingå säkerhetsskyddsavtal vid samverkan och samarbeten mellan statliga myndigheter har påtagliga nackdelar
Utöver det begränsade behovet, finns det dessutom påtagliga nackdelar med en ordning som går ut på ett generellt krav på säkerhetsskyddsavtal vid samverkan och samarbeten mellan statliga myndigheter som berör säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet över en viss nivå. En sådan ordning skulle nämligen medföra stora praktiska olägenheter. Samverkan mellan statliga myndigheter bedrivs i mycket stor omfattning och kan, som vi utvecklade inledningsvis, ta sig ett flertal olika former. I många fall handlar det enbart om avstämningar eller samråd. Det skulle leda till en stor administrativ belastning för de samverkande myndigheterna om det införs ett oinskränkt krav på säkerhetsskyddsavtal för all samverkan med myndigheter som kan aktualisera exponering av säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet över en viss nivå. Med hänsyn till kravet på att säkerhetsskyddsavtal ska anmälas till Säkerhetspolisen både när de ingås och när de upphör att gälla, skulle det också innebära en ökad arbetsbörda för Säkerhetspolisen (2 kap. 7 § nya säkerhetsskyddsförordningen).
143
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
Det bör inte gälla en generell skyldighet om statliga myndigheter finns på båda sidor
Även om behovet av säkerhetsskydd är ett mycket tungt vägande intresse, anser vi att det inte har framkommit tillräckliga skäl för ett generellt krav på säkerhetsskyddsavtal när statliga myndigheter samverkar eller samarbetar med varandra på ett sätt som innebär exponering av uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller av i övrigt säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Det huvudsakliga skälet för vår bedömning är att det inte finns ett tillräckligt behov av en sådan skyldighet eftersom kravet på skydd i många fall kan tillgodoses i centrala avseenden även utan säkerhetsskyddsavtal. Men vi beaktar också de stora olägenheter som en sådan skyldighet skulle innebära, samtidigt som det mervärde den skulle ge är begränsat.
Anskaffningar bör dock omfattas av kravet på säkerhetsskyddsavtal
De skäl som talar emot ett generellt krav på säkerhetsskyddsavtal gäller främst vid ren samverkan och rena samarbeten mellan statliga myndigheter. De har däremot inte samma aktualitet när det gäller situationer där två statliga myndigheter agerar beställare och leverantör i förhållande till varandra, dvs. där den ena myndigheten anskaffar en vara, tjänst eller byggentreprenad av den andra myndigheten. I denna situation handlar det inte främst om att myndigheterna samverkar mot ett gemensamt mål, utan de agerar snarare som aktörer på en marknad.
Statliga myndigheter kan tillhandahålla tjänster åt andra statliga myndigheter och därigenom i vissa fall handha stora skyddsvärden. Ett exempel kan vara att en myndighet hanterar andra myndigheters personaladministration. Myndigheter som bedriver säkerhetskänslig verksamhet kan i samband med det lämna över säkerhetsskyddsklassificerade uppgifter till den utförande myndigheten. Även om parterna på ömse sidor är statliga myndigheter anser vi att det kan finnas ett stort behov av att de myndigheter som t.ex. lämnar över sin lönehantering till en annan myndighet klargör vilka krav på säkerhetsskydd som gäller i fråga om säkerhetsskyddsklassificerade uppgifter som utföraren behandlar. Som vi har utvecklat tidigare i
144
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
kapitlet är det ju enbart den myndighet som lämnar över uppgifterna som har en fullständig insyn i och överblick över myndighetens skyddsvärden. Den myndighet som utför tjänsten kan normalt inte förväntas ha sådana kunskaper, vilket kan leda till att rätt säkerhetsskyddsåtgärder inte vidtas och att säkerhetsskyddet inte blir tillräckligt. Detta motverkas enligt vår mening bäst genom ett säkerhetsskyddsavtal där det anges hur utföraren ska tillgodose kraven på säkerhetsskydd. Genom att reglerna om säkerhetsskyddsavtal blir tillämpliga skapas det en uttrycklig skyldighet för den myndighet som lämnar över arbetsuppgifter eller liknande till en annan myndighet att kontrollera att säkerhetsskyddsavtalet följs. Det blir därigenom tydligt för den myndighet som lämnar över uppgifterna att myndigheten inte befrias från ansvaret för att uppgifterna omgärdas av ett tillräckligt säkerhetsskydd.
Vi anser inte att ett krav på säkerhetsskyddsavtal vid anskaffning mellan statliga myndigheter skulle innebära några större nackdelar i form av en onödigt stor administrativ belastning. Vi ser inte heller några andra påtagliga nackdelar med en sådan ordning. Att myndigheten får ett ansvar för att kontrollera att den andra myndigheten följer säkerhetsskyddsavtalet innebär inte någon rubbning av det generella tillsynsansvaret (se kapitel 8), utan handlar enbart om förhållandet mellan de två aktuella myndigheterna.
Sammantaget gör vi alltså bedömningen att det inte bör gälla något undantag för situationer där statliga myndigheter anskaffar varor, tjänster eller byggentreprenader från varandra. Om förutsättningarna i övrigt är uppfyllda bör det alltså gälla ett krav på säkerhetsskyddsavtal vid sådan anskaffning. Det bör sakna betydelse om reglerna om offentlig upphandling anses tillämpliga eller inte.
Undantaget bör gälla all samverkan och alla samarbeten som avser annat än en anskaffning
Våra bedömningar i det föregående innebär att det inte bör gälla något generellt krav på säkerhetsskyddsavtal vid samverkan och samarbeten mellan statliga myndigheter som avser något annat än en anskaffning av en vara, tjänst eller byggentreprenad. Nästa fråga är då om man bör undanta all sådan samverkan och alla sådana samarbeten mellan statliga myndigheter, eller om det trots allt bör finnas
145
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
en skyldighet att ingå säkerhetsskyddsavtal i vissa fall. Vi har identifierat fyra tänkbara regleringslösningar.
Alternativa lösningar
Alternativ 1 är ett generellt undantag, dvs. att all samverkan och alla
samarbeten om annat än en anskaffning undantas. En fördel med detta alternativ är att myndigheterna inte behöver ta ställning till om ett säkerhetsskyddsavtal ska ingås när det är fråga om något annat än en anskaffning. En sådan ordning stämmer bäst överens med intresset av att inte skapa merarbete för myndigheterna själva och för Säkerhetspolisen. Givetvis innebär detta inte att myndigheten kan underlåta att beakta behovet av säkerhetsskydd vid samarbeten och samverkan där det inte gäller ett krav på säkerhetsskyddsavtal, men det kan ändå innebära en administrativ lättnad.
Samtidigt kan det inte helt uteslutas att det kan finnas situationer där det skulle finnas fördelar med ett säkerhetsskyddsavtal. Så skulle kunna vara fallet när det är fråga om samverkan eller samarbeten mellan statliga myndigheter där den ena parten avser att dela med sig av sådant som är skyddsvärt till en annan myndighet som har en mindre utvecklad säkerhetskultur. Samverkan eller samarbetet kan då medföra negativa konsekvenser för Sveriges säkerhet. Detta kan tala för alternativ 2, nämligen en regel som går ut på att den myndighet som exponerar säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet får kräva att det ingås ett säkerhetsskyddsavtal, om det behövs för att kraven på säkerhetsskydd ska tillgodoses. Det bör dock understrykas att bestämmelserna i 2 kap. 6 § nya säkerhetsskyddslagen inte hindrar en verksamhetsutövare från att ställa krav på en motpart att ingå säkerhetsskyddsavtal även om det inte finns någon sådan skyldighet enligt lag (prop. 2017/18:89 s. 105). En verksamhetsutövare kan t.ex. kräva ett säkerhetsskyddsavtal i situationer där en upphandling enbart omfattar uppgifter i säkerhetsskyddsklassen begränsat hemlig. Därmed framstår det som överflödigt att uttryckligen ange att det finns en sådan möjlighet i vissa fall. En sådan regel kan dessutom komma att uppfattas som att verksamhetsutövaren inte har rätt att kräva ett säkerhetsskyddsavtal i andra fall än de som pekas ut i bestämmelsen. Detta
146
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
vore olyckligt och är inte förenligt med lagstiftarens intention (se det nyss redovisade propositionsuttalandet).
Alternativ 3 skulle kunna vara att utgångspunkten är att säker-
hetsskyddsavtal ska ingås, men att det anges att ett sådant avtal inte
behöver ingås om kraven på säkerhetsskydd ändå är uppfyllda eller kan uppfyllas. Genom en sådan skrivning skulle man betona vikten av att
säkerhetsskyddet inte urholkas. Samtidigt kan man ifrågasätta värdet av en sådan bestämmelse, eftersom det som vi nyss konstaterat även utan en sådan finns en möjlighet för en verksamhetsutövare att kräva att ett säkerhetsskyddsavtal ingås. En myndighet som avser att inleda en samverkan eller ett samarbete med en annan myndighet kan alltså kräva att det ingås ett säkerhetsskyddsavtal, om den förstnämnda myndigheten anser att det behövs. Vidare finns det enligt vår uppfattning nackdelar med en bestämmelse av det slag som vi nu diskuterar. Till att börja med måste man, för att bestämmelsen ska få önskad effekt, klargöra vad som krävs för att kraven på säkerhetsskydd ska vara uppfyllda utan ett säkerhetsskyddsavtal. I annat fall är risken stor att tillämpningen blir ojämn. Risken att bedömningen i efterhand anses som felaktig kan leda till att myndigheter väljer att ingå säkerhetsskyddsavtal när det inte är nödvändigt hellre än att ta risken att göra fel. Detta leder i sin tur till en ökad administrativ belastning för både de samverkande myndigheterna och Säkerhetspolisen. En regel av detta slag innebär vidare att det knappast går att koppla skyldigheten att vidta andra förebyggande åtgärder, t.ex. att samråda med tillsynsmyndigheten i vissa fall, på att det finns en skyldighet att ingå ett säkerhetsskyddsavtal (se våra resonemang i kapitel 6). För att en sådan koppling ska kunna göras krävs det enligt vår mening att det är tydligt när det finns en skyldighet att ingå säkerhetsskyddsavtal. Det framstår då inte som lämpligt att knyta andra skyldigheter till myndighetens egen bedömning av vilka krav på säkerhetsskydd som bör ställas. För att det i efterhand ska kunna kontrolleras om bestämmelsen har följts, krävs det dessutom att övervägandena i fråga om behovet av säkerhetsskyddsavtal dokumenteras. Om en sådan dokumentation krävs ökar den administrativa belastningen för myndigheterna.
Ett sista alternativ – alternativ 4 – skulle kunna vara att man i stället för säkerhetsskyddsavtal inför någon särskild figur just för samarbeten mellan statliga myndigheter. Ett argument för en sådan
147
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
lösning skulle kunna vara att det är tveksamt om statliga myndigheter kan ingå civilrättsligt giltiga avtal med varandra (se våra resonemang i avsnitt 5.4.2) och att ordet avtal därför kan förefalla oegentligt. Man kan samtidigt ifrågasätta värdet av att man inför en ny rättslig figur för att åstadkomma i allt väsentligt samma sak som ett säkerhetsskyddsavtal. Vi har svårt att se några större fördelar med en sådan ordning.
Sammanfattande bedömning
Vår bedömning är att alternativ 1 är den bästa lösningen. En sådan reglering skulle vara flexibel och lämna utrymme för de samverkande statliga myndigheterna att använda sitt omdöme i frågan om ett säkerhetsskyddsavtal behövs eller inte i det enskilda fallet. Den hindrar inte att säkerhetsskyddsavtal ingås om det finns skäl för det. Alternativ 2, dvs. en regel som innebär att statliga myndigheter får ingå säkerhetsskyddsavtal, tillför enligt vår mening inget utöver alternativ 1 och har dessutom flera nackdelar. Alternativ 3 innebär visserligen en viss betoning av vikten av att myndigheter som önskar samverka tar ansvar för säkerhetsskyddet, men har samtidigt flera nackdelar som vi har utvecklat i det föregående. Vi anser inte heller att det skulle vara lämpligt att i enlighet med alternativ 4 införa någon form av ”säkerhetsskyddsavtal light”. Säkerhetsskyddsregleringen bör inte göras mer komplicerad genom införande av nya figurer som inte tillför något väsentligt nytt. Det framstår i stället som mer naturligt och lämpligt att säkerhetsskyddsavtalen – i de fall de ingås – anpassas till behoven i det enskilda fallet. Med beaktande av det anförda föreslår vi en reglering i enlighet med alternativ 1, dvs. att samarbeten och samverkan mellan statliga myndigheter undantas från kravet på säkerhetsskyddsavtal – förutom om det är fråga om en anskaffning av en vara, tjänst eller byggentreprenad.
En följd av förslaget om undantag från skyldigheten att ingå säkerhetsskyddsavtal är att andra typer av överenskommelser än säkerhetsskyddsavtal kan komma att aktualiseras mellan statliga myndigheter. Det kan handla om såväl skriftliga som muntliga överenskommelser om hur säkerhetsskyddet ska ordnas i en viss situation. Frågan är om och när denna typ av överenskommelse ska betecknas som säkerhetsskyddsavtal. Av skäl som vi utvecklar i det
148
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
följande bedömer vi att det bör finnas utrymme för statliga myndigheter att komma överens i fråga om säkerhetsskydd utan att det för den delen blir fråga om säkerhetsskyddsavtal i formell mening. I annat fall skulle t.ex. kraven enligt 2 kap. 7 § nya säkerhetsskyddsförordningen på anmälan och avanmälan av säkerhetsskyddsavtal bli tillämpliga vid varje sådan överenskommelse, vilket skulle innebära merarbete både för myndigheten som ingår avtalet och för Säkerhetspolisen. Enligt vår mening är det viktigt att undantaget från skyldigheten att ingå säkerhetsskyddsavtal inte skapar merarbete eller försvårar för statliga myndigheter att komma överens i frågor om säkerhetsskydd. Att beteckna alla former av överenskommelser mellan statliga myndigheter om säkerhetsskydd som säkerhetsskyddsavtal skulle enligt vår mening få den effekten att undantaget blir verkningslöst.
Undantaget från skyldigheten att ingå säkerhetsskyddsavtal bör därför ha den innebörden att statliga myndigheter får använda sitt omdöme i varje enskilt fall. Det innebär att om det finns ett behov av exempelvis genomföra säkerhetsprövning av personal hos den andra myndigheten så ska ett säkerhetsskyddsavtal ingås. Om det däremot är tillräckligt med en överenskommelse om att endast personal i en viss säkerhetsklass ska få delta i samverkan mellan myndigheter, så bör myndigheterna kunna komma överens om detta utan att reglerna om säkerhetsskyddsavtal tillämpas.
5.4.5 Andra än statliga myndigheter bör normalt omfattas av en skyldighet att ingå säkerhetsskyddsavtal
Resonemangen om undantag för samarbeten och samverkan mellan statliga myndigheter avser de förhållanden som typiskt sett råder mellan de statliga myndigheterna. Nästa fråga är om samma argument väger lika tungt för andra myndigheter, t.ex. för samverkan och samarbete mellan statliga och kommunala myndigheter eller mellan kommunala myndigheter. Vi menar att så inte är fallet.
Kommunerna sköter lokala och regionala angelägenheter av allmänt intresse på den kommunala självstyrelsens grund och kan därför inte sägas företräda samma övergripande intresse som statliga myndigheter gör (se 14 kap. 2 § regeringsformen). Det kan alltså finnas ett spänningsförhållande mellan kommunala och statliga intressen,
149
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
vilket har uppmärksammats i ett flertal ärenden med säkerhetspolitiska inslag, t.ex. när det gäller uthyrningen av hamnkapacitet på Gotland och i Blekinge inom ramen för naturgasprojektet Nordstream 2. Vi noterar också att kommittén Förbättrat skydd för totalförsvarsverksamhet (dir. 2017:31) har fått i uppdrag att kartlägga det befintliga regelverk som syftar till att skydda Sveriges totalförsvarsverksamhet mot yttre hot, och utifrån kartläggningen bedöma om ansvarsförhållandet mellan staten, kommunerna och enskilda är tydligt och lämpligt reglerat. Även landstingen kan företräda motstående regionala intressen.
Med hänsyn till det anförda bör andra myndigheter än statliga ha samma skyldighet att ingå säkerhetsskyddsavtal vid samverkan och samarbeten som vid upphandling. Det bör dock framhållas att det många gånger kan finnas andra lösningar än ingående av säkerhetsskyddsavtal, inte minst genom att verksamhetsutövare minimerar utomståendes insyn i verksamheten till situationer där det verkligen är nödvändigt, och även minimerar utomståendes tillgång till säkerhetsskyddsklassificerade uppgifter. Myndigheter och andra som deltar i olika former av samverkan bör alltså noga tänka igenom om det är nödvändigt att exempelvis ge motparten tillgång till säkerhetsskyddsklassificerade uppgifter eller om ändamålet med samverkan kan uppnås ändå. Om man kommer fram till att det inte är nödvändigt att ge motparten tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet behöver man inte heller ingå ett säkerhetsskyddsavtal.
5.4.6 Regeringen bör kunna föreskriva och besluta om undantag
I det föregående har vi kommit fram till att kravet på säkerhetsskyddsavtal bör utvidgas och att det normalt bör gälla bl.a. för anskaffningar mellan statliga myndigheter. Det kan dock finnas vissa relationer mellan myndigheter där det inte framstår som rimligt eller nödvändigt med ett krav på säkerhetsskyddsavtal. Ett exempel skulle kunna vara relationen mellan Försvarsmakten och Försvarets materielverk. Dessa två myndigheter har ett mycket omfattande samarbete och är tätt sammanflätade. Även andra liknande relationer mellan myndigheter kan tänkas. Det bör därför finnas en möjlighet
150
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
att undanta vissa myndigheter från kravet att ingå säkerhetsskyddsavtal med varandra. Behoven kan variera över tid, varför sådan reglering bör finnas i förordning. Det bör dock anges i säkerhetsskyddslagen att regeringen får föreskriva om undantag från kravet på säkerhetsskyddsavtal. Detta kan lämpligen ske genom ett tillägg i bemyndigandet i 2 kap. 7 § nya säkerhetsskyddslagen.
Det kan vidare finnas ett behov av undantag i vissa specifika fall. Ett exempel kan vara den typen av samarbeten som enligt våra direktiv inte bör omfattas av en skyldighet att ingå säkerhetsskyddsavtal, nämligen sådant samarbete som en myndighet bedriver i enlighet med författning eller regeringsbeslut och som förutsätter ett utbyte av säkerhetskänsliga uppgifter och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för uppgifterna upprätthålls. I princip handlar det om viss samverkan på underrättelseområdet, t.ex. partnersamarbeten. Man kan också tänka sig andra situationer där ett undantag är lämpligt, exempelvis i ett tillstånd av höjd beredskap där det finns möjlighet att snabbt anskaffa vissa varor eller tjänster. Det kan även vara lämpligt att undanta anskaffningar mellan vissa myndigheter genom särskilda beslut hellre än genom förordning. Regeringen har det övergripande ansvaret för Sveriges säkerhet. Vår bedömning är att regeringen i denna roll bör ha möjlighet att, på de skäl som regeringen finner lämpliga, fatta beslut i enskilda fall om undantag från skyldigheten att ingå säkerhetsskyddsavtal.
5.4.7 Bestämmelsernas närmare utformning
Bestämmelserna i 2 kap. 6 § nya säkerhetsskyddslagen gäller när en offentlig verksamhetsutövare avser att genomföra en upphandling eller en enskild verksamhetsutövare ingår ett avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer. Skyldigheten att ingå ett säkerhetsskyddsavtal gäller bara om det i upphandlingen eller avtalet förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
151
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
Våra bedömningar i det föregående innebär att skyldigheten att ingå säkerhetsskyddsavtal bör gälla i fler fall än som följer av den nyss beskrivna regleringen i 2 kap. 6 § nya säkerhetsskyddslagen. Förutom upphandling och andra avtal bör skyldigheten att ingå säkerhetsskyddsavtal även gälla vid andra typer av samverkan och samarbete. Det är varken möjligt eller lämpligt att i en föränderlig värld försöka uttömmande definiera vilken sorts samverkan och vilka slags samarbeten det kan röra sig om. Bestämmelsen bör därför vara så neutralt utformad att den omfattar även nya samverkans- och samarbetsformer som uppkommer i framtiden. Vilka undantag från skyldigheten som bör gälla eller vara möjliga har vi utvecklat i avsnitt 5.4.4–5.4.6.
Vi ser i övrigt endast anledning till mindre ändringar i fråga om villkoren för att det ska råda ett krav på säkerhetsskyddsavtal. Som vi har utvecklat i avsnitt 5.4.3 bör det avgörande vara om säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet kan exponeras för någon utomstående. Regleringen bör därför även i fortsättningen bygga på i allt väsentligt motsvarande förutsättningar, även om ordalydelsen i 2 kap. 6 § nya säkerhetsskyddslagen måste anpassas något för att passa för även annat än upphandlingar och avtal om anskaffningar. Regleringen bör innebära ett krav på säkerhetsskyddsavtal om det planerade förfarandet innebär att den utomstående parten kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Dessa skrivningar innebär att kravet på exponering mjukas upp något, eftersom det blir tillräckligt att förfarandet
kan leda till exponering.
Bestämmelserna om säkerhetsskyddsavtal bör även i fortsättningen vara framåtsyftande på så sätt det de ska tillämpas redan när verksamhetsutövaren avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part. Uttrycket utomstående part är tänkt att omfatta exempelvis en annan myndighet eller ett annat företag, även sådana som ingår i samma koncern. När det gäller anskaffningar mellan statliga myndigheter bör det enligt vår bedömning sakna betydelse att dessa ingår i samma juridiska person, nämligen staten.
152
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
Däremot bör det, som vi tidigare kommit fram till, göras ett undantag för andra former av samverkan och samarbeten mellan sådana myndigheter.
Ordet avser innebär en markering av att säkerhetsskyddsavtalet i princip måste vara på plats när samarbetet eller samverkan inleds, eller avtalet ingås.
Bestämmelsen om avtalets innehåll bör av redaktionella skäl flyttas till en egen paragraf i 2 kap. Det finns också skäl att komplettera den med en bestämmelse om att verksamhetsutövaren har en rätt att revidera säkerhetsskyddsavtalet vid ändrade förhållanden. Vi utvecklar skälen för detta i avsnitt 6.11.3. Revideringen bör självfallet ske i samverkan med den utomstående part som man ingått säkerhetsskyddsavtal med.
Det bör även i fortsättningen krävas att verksamhetsutövaren kontrollerar att motparten lever upp till kraven i säkerhetsskyddsavtalet. Även denna bestämmelse bör dock av redaktionella skäl flyttas till en egen paragraf i 2 kap. I konsekvens med tillägget om rätt till revidering vid ändrade förhållanden bör det också införas en skyldighet för verksamhetsutövaren att se till att sådan revidering sker. Skälen för detta utvecklas i avsnitt 6.11.3.
Särskilt om aggregerade uppgifter
Som vi har angett i avsnitt 5.1 ingår det inte i vårt uppdrag att överväga ändringar när det gäller kravet på att de uppgifter som exponeras för den utomstående parten har en viss säkerhetsskyddsklassificering. Våra resonemang utgår alltså ifrån att det handlar om uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller om i övrigt säkerhetskänslig verksamhet av motsvarande betydelse. En särskild fråga är dock hur man bör hantera situationen att ett planerat förfarande, t.ex. en utkontraktering av viss it-drift, involverar en stor mängd uppgifter som sedda var för sig är klassificerade som begränsat hemliga, eller som inte är säkerhetsskyddsklassificerade alls, men som sammantagna kan vara betydligt känsligare i förhållande till Sveriges säkerhet. Det kan t.ex. handla om situationer där uppgifter som sammanställts har bearbetats eller kan bearbetas så att man av sammanställningen kan utvinna en annan och mer känslig information än av uppgifterna var för sig. En annan situation kan
153
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
vara att den sammanställda informationen visar på exempelvis beroenden mellan olika verksamheter, förmåga, sårbarheter eller andra förhållanden som kan leda till en inte obetydlig skada för Sveriges säkerhet om den röjs.
Det kan av förarbetena utläsas att sammanställningar av uppgifter från olika källor kan göra att den sammanställda informationen kan anses utgöra säkerhetsskyddsklassificerade uppgifter även om informationen härrör från öppna källor (prop. 2017/18:89 s. 45). Uppgifterna i en sammanställning kan alltså vara säkerhetsskyddsklassificerade, fastän de i ett annat sammanhang inte är det var och en för sig. Det framgår vidare av förarbetena att verksamhetsutövarna, vid sin klassificering av uppgifter, måste bedöma om en samling av uppgifter i en viss säkerhetsskyddsklass medför att en högre säkerhetsskyddsklass ska tillämpas. Samtidigt påpekas det att man med hänsyn till behovet av att undvika onödiga administrativa kostnader och ingrepp i enskildas integritet m.m. inte bör göra klassificeringen i större utsträckning och med placering i högre klass än vad som är nödvändigt (prop. 2017/18:89 s. 67).
Förarbetsuttalandena kan tolkas så att verksamhetsutövarna i sitt arbete med säkerhetsskyddsklassificering är skyldiga att beakta mängden uppgifter och konsekvenserna av att de sammanställs. Rättsläget kan alltså uppfattas på det sättet att en mängd uppgifter som, sedda var för sig, är att bedöma som begränsat hemliga bör klassificeras som konfidentiella om de finns i en samling och skadan vid röjande skulle bli inte obetydlig. Detta är en lämplig ordning och föranleder inte några förslag från vår sida.
Säkerhetsskyddsavtalet är normalt ett särskilt avtal
Under vårt arbete har frågan aktualiserats om säkerhetsskyddsavtalet måste vara ett särskilt avtal, eller om det kan utgöra en del av affärsavtalet eller samverkansavtalet mellan parterna. Vår uppfattning är att det normalt bör vara fråga om ett tydligt urskiljbart särskilt avtal. Ett skäl för detta är skyldigheten att ingå ett säkerhetsskyddsavtal gäller redan för den som avser att vidta vissa åtgärder. Normalt måste säkerhetsskyddsavtalet ingås före affärs- eller samarbetsavtalet. Detta gäller i synnerhet om det redan i t.ex. ett förfrågnings-
154
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
underlag inför en upphandling ska tas in säkerhetsskyddsklassificerade uppgifter. Ett annat skäl för att säkerhetsskyddsavtalet bör hållas separat är att det annars blir svårare för tillsynsmyndigheterna att kontrollera att verksamhetsutövare fullgör sina skyldigheter när det gäller säkerhetsskyddsavtal. Detta blir än viktigare om man, som vi föreslår i avsnitt 9.8, inför sanktioner för den verksamhetsutövare som åsidosätter sina skyldigheter. Det bör också framhållas att det av andra skäl kan vara viktigt att säkerhetsskyddsavtalet hålls utanför affärsavtalet. Det kan t.ex. vara så att affärsavtalet innehåller affärshemligheter som inte är relevanta för tillsynsmyndigheterna att ta del av. Slutligen är ett viktigt argument att säkerhetsskyddsavtalet utgör en rättslig grund för vissa ingripande åtgärder, däribland säkerhetsprövning av motpartens personal. Det är då ytterst viktigt att det är tydligt att det är fråga om ett sådant avtal som avses i 2 kap. 6 § nya säkerhetsskyddslagen.
5.5 Reglerna om behörighet bör övervägas
Bedömning: Det bör övervägas om bestämmelsen i nya säker-
hetsskyddsförordningen om behörighet att delta i säkerhetskänslig verksamhet bör göras tillämplig även i fråga om utomstående som genom t.ex. ett samarbete får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt till den säkerhetskänsliga verksamheten.
Som nämnts i avsnitt 5.2 finns det i 2 kap. 3 § nya säkerhetsskyddsförordningen en bestämmelse om behörighet att delta i säkerhetskänslig verksamhet. Där anges följande. Behörig att ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt delta i säkerhetskänslig verksamhet är, om inte något annat följer av bestämmelser i lag, endast den som
1. har bedömts pålitlig från säkerhetssynpunkt,
2. har tillräckliga kunskaper om säkerhetsskydd, och
3. behöver uppgifterna eller annan tillgång till verksamheten för att
kunna utföra sitt arbete eller på annat sätt delta i den säkerhetskänsliga verksamheten.
155
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
Bestämmelsen riktar sig till verksamhetsutövarens ledning och innebär att den som ska anställas eller på något annat sätt delta i säkerhetskänslig verksamhet ska uppfylla krav på pålitlighet, kunskap om säkerhetsskydd och behov av uppgifterna eller tillgång till verksamheten. En särskild fråga är om bestämmelsen också träffar personer som verksamhetsutövaren samverkar eller samarbetar med, utan att personerna är t.ex. anställda eller uppdragstagare i den säkerhetskänsliga verksamheten. Med detta avser vi bl.a. de personer som från en annan myndighet deltar i en myndighetssamverkan med den myndighet som är en verksamhetsutövare enligt säkerhetsskyddslagen. En tolkning som går ut på att sådana personer omfattas skulle vara rationell och mest förenlig med kraven på ett väl anpassat säkerhetsskydd. Det framstår som naturligt att de krav som ställs på anställda och uppdragstagare ska gälla för alla utomstående som involveras i verksamheten. Det är dock tveksamt om bestämmelsen kan tolkas så, av de skäl som utvecklas i det följande.
Rubriken före bestämmelsen lyder Behörighet att delta i säkerhets-
känslig verksamhet. Vidare framgår av själva paragrafen att den avser
personer som får del av säkerhetsskyddsklassificerade uppgifter eller
i övrigt deltar i säkerhetskänslig verksamhet. Det sagda ger vid handen
att bestämmelsen enbart träffar personer som anses delta i den säkerhetskänsliga verksamheten. I nya säkerhetsskyddslagen används nämligen uttrycket ”delta i säkerhetskänslig verksamhet” enbart för sådana personer som arbetar i själva verksamheten, exempelvis anställda och uppdragstagare (se t.ex. 3 kap. 1 § och 5 kap. 2 § lagen). Uttrycket och de bestämmelser där det används anses alltså inte träffa exempelvis anställda hos en leverantör som verksamhetsutövaren ingår ett säkerhetsskyddsavtal med eller andra utomstående. Av 1 kap. 1 § nya säkerhetsskyddsförordningen framgår att ord och uttryck i förordningen har samma innebörd som i lagen. Med hänsyn till det anförda får uttrycket ”delta i säkerhetskänslig verksamhet” i 2 kap. 3 § förordningen förstås på samma sätt som i lagen. Det innebär att det är tveksamt om den kan läsas på det sätt som vi diskuterade inledningsvis. En minst lika rimlig tolkning är att den inte kan anses träffa anställda hos leverantörer, samverkanspartner och andra utomstående.
Vi ifrågasätter om detta i så fall är en lämplig ordning. Med hänsyn till vikten av att ett tillräckligt säkerhetsskydd upprätthålls även vid olika slags kontakter med utomstående bör det övervägas om det
156
SOU 2018:82 Skyldigheten att ingå säkerhetsskyddsavtal
uttryckligen bör framgå även vilka krav som måste ställas på personer som deltar i exempelvis en myndighetssamverkan och därigenom får del av säkerhetsskyddsklassificerade uppgifter. Frågan omfattas inte av vårt uppdrag, men vi anser att den bör övervägas i något annat sammanhang. Det bör dock framhållas att verksamhetsutövare som är skyldiga att ingå säkerhetsskyddsavtal givetvis i säkerhetsskyddsavtalet måste ställa upp de krav på motpartens personal m.m. som behövs för att säkerhetsskyddet ska kunna upprätthållas.
5.6 Kopplingen mellan säkerhetsskyddsavtal och säkerhetsprövning bör förtydligas
Förslag: Det införs ett tillägg i 2 kap. 6 § nya säkerhetsskydds-
lagen som innebär att bestämmelserna om säkerhetsprövning i 3 kap. samma lag får tillämpas när säkerhetsskyddsavtal har ingåtts.
Som angetts i avsnitt 5.2 är säkerhetsskyddsavtalet en grund för att besluta om vilka anställningar och annat deltagande hos motparten som ska placeras i säkerhetsklass (prop. 2017/18:89 s. 104). I såväl den gamla som den nya säkerhetsskyddslagen förutsätts att ett säkerhetsskyddsavtal ska kunna innehålla krav på placering i säkerhetsklass, vilket i sin tur förutsätter säkerhetsprövning med registerkontroll. I förarbetena till den nya säkerhetsskyddslagen anges också att bestämmelserna om säkerhetsprövning i 3 kap. gäller vid ingående av säkerhetsskyddsavtal (prop. 2017/18:89 s. 141).
Trots vad som angetts ovan framgår det inte tydligt av lagtexten att ett säkerhetsskyddsavtal kan utgöra grund för att anställningar och annat deltagande i motpartens verksamhet föranleder krav på säkerhetsprövning och registerkontroll. Genomförandet av en säkerhetsprövning kan innebära att det behöver ställas frågor om levnadsbakgrund och levnadssituation som kan uppfattas som privata och känsliga. Även skyldigheten att genomgå en registerkontroll kan uppfattas som ett integritetskänsligt moment. Det gäller inte minst när behovet av säkerhetsprövning har uppstått för en person som redan är anställd när det förfarande som föranleder säkerhetsskyddsavtalet – och därmed säkerhetsprövningen – påbörjas. Med hänsyn till det anförda bör det framgå direkt av lag att det finns en möjlighet
157
Skyldigheten att ingå säkerhetsskyddsavtal SOU 2018:82
att ställa krav på säkerhetsprövning av t.ex. leverantörens personal efter att ett säkerhetsskyddsavtal har ingåtts.
158
6 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet samt vissa andra förfaranden
6.1 Uppdraget
Bakgrunden till uppdraget
Utkontraktering
Alla förvaltningsmyndigheter under regeringen ska enligt myndighetsförordningen (2007:515) bedriva sin verksamhet effektivt och hushålla väl med statens resurser. Detta är ett berättigat krav på all verksamhet i offentlig regi. I förlängningen innebär myndighetsförordningens krav i detta avseende att offentligt drivna verksamheter måste analysera om alla arbetsuppgifter bör utföras inom den egna organisationen eller om varor och tjänster i stället ska upphandlas externt från enskilda utförare. Motiven för att genom upphandling lägga ut viss verksamhet på en extern aktör kan t.ex. vara effektivitets- eller besparingsskäl. Ett annat skäl kan vara att få tillgång till ny kunskap och nya idéer, kunskap som myndigheterna annars inte hade haft möjlighet att få internt. Det kan också röra sig om större projekt där samverkan mellan offentlig och privat sektor är nödvändig. Att lägga ut verksamhet på entreprenad kallas ibland för outsourcing. Detta begrepp har ingen legaldefinition och uttrycks på olika sätt i olika sammanhang. När outsourcing sker till en aktör i ett annat land används ibland begreppet offshoring men inte heller för det begreppet finns någon enhetlig tillämpning. I direktiven används den övergripande termen utkontraktering och det är också denna term vi hädanefter kommer att använda i detta kapitel.
159
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Det som kännetecknar en utkontraktering, så som vi använder begreppet, är att det är en del av den egna verksamheten som läggs ut på en annan aktör. Gränsen mellan utkontraktering och andra förfaranden är dock inte alltid helt lätt att dra.
Även om utkontraktering av säkerhetskänslig verksamhet i många sammanhang kan innebära stora kostnadsbesparingar eller andra fördelar för den utkontrakterande verksamheten, kan det också innebära att Sveriges säkerhet utsätts för ökade sårbarheter eller nya former av hot. Säkerhetspolisen har under senare år uppmärksammat flera händelser där olika verksamhetsutövare anlitat externa aktörer för arbete som berört säkerhetskänslig verksamhet och där säkerhetsskyddet varit bristfälligt. I vissa fall har avtalsförhållanden reglerats genom säkerhetsskyddsavtal som varit otillräckligt utformade. Det finns också exempel på att bestämmelser i säkerhetsskyddsavtal inte har följts. Säkerhetspolisen har vidare framhållit att utkontraktering ofta kan innebära att flera kunders system och information samlas i samma lagringsmedium, t.ex. en molntjänst, vilket innebär en ökad sårbarhet för bl.a. säkerhetskänsliga uppgifter. Myndigheten har vidare konstaterat att leverantören därigenom riskerar att bli ett attraktivt mål för bl.a. andra länders underrättelseinhämtning.
I säkerhetsskyddslagen (2018:585), i det följande kallad nya
säkerhetsskyddslagen, görs flera ändringar som innebär ett förstärkt
skydd för säkerhetskänslig verksamhet. I direktiven anges att dessa åtgärder dock inte fullt ut tar hand om den aktuella problemställningen. Den 1 april 2018 har det, i avvaktan på våra förslag, införts vissa regler om bl.a. samrådsskyldighet vid säkerhetsskyddad upphandling i vissa fall, se 16 a § säkerhetsskyddsförordningen (1996:633), i det följande kallad gamla säkerhetsskyddsförordningen). Reglerna innebär vidare att Försvarsmakten eller Säkerhetspolisen får förelägga en upphandlande myndighet att vidta åtgärder och, ytterst, besluta att myndigheten inte får genomföra upphandlingen. En motsvarande men något omarbetad bestämmelse finns också i säker-hetsskyddsförordningen (2018:658), i det följande kallad nya säker-
hetsskyddsförordningen. Vi går närmare in på de nya reglerna i av-
snitt 6.3.2.
Vårt uppdrag bör förstås mot den beskrivna bakgrunden.
160
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
Upplåtelse
En närbesläktad situation där det kan uppstå liknande problematik som vid utkontraktering är när verksamhetsutövare står i begrepp att upplåta eller överlåta säkerhetskänslig verksamhet eller delar av en sådan verksamhet. Vi behandlar överlåtelser av säkerhetskänslig verksamhet i kapitel 7. Vi har dock gjort bedömningen att upplåtelse har så många beröringspunkter med utkontraktering att frågorna bör behandlas tillsammans i detta kapitel. Exempel på upplåtelser där det kan uppstå en problematik i förhållande till behovet av säkerhetsskydd är att verksamhetsutövare till någon utomstående aktör upplåter en lokal i en anläggning där säkerhetskänslig verksamhet bedrivs. Det kan också förekomma att man upplåter själva den lokal, t.ex. ett laboratorium, där det bedrivs säkerhetskänslig verksamhet.
Uppdraget
Vi har i uppdrag att utreda vilka ytterligare åtgärder som skulle kunna vidtas för att komma till rätta med riskerna för Sveriges säkerhet som utkontraktering och upplåtelse av säkerhetskänslig verksamhet kan innebära. Närmare bestämt ska vi
• kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering och upplåtelse av sådan verksamhet,
• utifrån kartläggningen föreslå olika förebyggande åtgärder, och
• utarbeta nödvändiga författningsförslag.
I direktiven anges det att ett tänkbart sätt att minska riskerna med utkontraktering skulle kunna vara införandet av bestämmelser om förhandskontroll vid ingående av säkerhetsskyddsavtal i samband med upphandling eller annat avtalsingående. En sådan möjlighet skulle enligt direktiven exempelvis kunna innebära en tillståndsprövning som ger Säkerhetspolisen och Försvarsmakten möjlighet att, inom respektive myndighets ansvarsområde, hindra eller ställa ytterligare villkor för utkontraktering när det är nödvändigt för att upprätthålla
161
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
verksamhetens skyddsvärde eller i fall då tänkta eller vidtagna säkerhetsskyddsåtgärder är bristfälliga. Som tidigare nämnts har vissa bestämmelser redan införts i avvaktan på våra förslag (16 a § gamla säkerhetsskyddsförordningen och 2 kap. 6 § nya säkerhetsskyddsförordningen).
I direktiven anges bl.a. följande om upplåtelse. Bestämmelserna behöver ses över bl.a. ur perspektivet att säkerhetskänslig verksamhet även måste kunna skyddas vid upplåtelse av en viss funktion eller en del av en verksamhet. Det kan t.ex. innebära krav på en särskild bedömning av verksamhetens betydelse för annan skyddsvärd verksamhet och en möjlighet för staten att ingripa om upplåtelsen kan antas inverka negativt på Sveriges säkerhet. Upplåtelse av såväl hela som delar av verksamheter eller viss egendom bör omfattas av övervägandena.
Det betonas i direktiven att frågorna om utkontraktering och upplåtelse nära knyter an till vilka befogenheter som tillsynsmyndigheterna bör ha för att ingripa vid ett bristande säkerhetsskyddsarbete. Vidare betonas det att utredningen måste beakta andra närliggande regelverk, t.ex. lagstiftningen om offentlig upphandling.
I direktiven används uttrycket ”risker för Sveriges säkerhet”. Eftersom ordet risk i dessa sammanhang oftast används i en annan bemärkelse har vi dock valt att använda andra uttryck, såsom hot, sårbarhet eller negativa konsekvenser. Vi använder dock oftast ordet ”risk” när vi hänför oss till det som sägs i direktiven. Se vidare om begreppen i avsnitt 2.2.
En bred ansats
En av våra uppgifter är att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för sårbarheter i samband med utkontraktering och upplåtelse. Vi har också fått i uppgift att överväga om skyldigheten att ingå säkerhetsskyddsavtal bör utvidgas. Våra förslag i fråga om skyldigheten att ingå säkerhetsavtal har redovisats i kapitel 5. Vi anser att uppdraget bör ses som en helhet där det övergripande syftet är att stärka förmågan att effektivt och samordnat förebygga och möta omedelbara hot mot och utmaningar för Sveriges säkerhet. Vi därför valt att inte begränsa oss till utkontraktering och upplåtelse, utan att också
162
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
överväga hur man kan förebygga sårbarheter och skador vid andra närliggande situationer, som vi anser kan medföra motsvarande konsekvenser för Sveriges säkerhet. Denna bredare ansats – som är i linje med vårt uppdrag att överväga i vilken utsträckning verksamhetsutövare ska vara skyldiga att ingå säkerhetsskyddsavtal och våra förslag i den delen – utvecklas närmare i avsnitt 6.5.
Vad avses med utkontraktering och upplåtelse?
Utkontraktering
Uppdraget handlar i den här delen om bl.a. utkontraktering av säkerhetskänslig verksamhet. Utkontraktering innebär att en verksamhetsutövare lägger ut en del av den egna verksamheten på entreprenad. Närmare bestämt handlar det om att verksamheten lägger ut en tjänst, process eller verksamhet som annars skulle ha utförts av verk-
samhetsutövaren själv.
1
Ett annat sätt att uttrycka saken är att verk-
samhetsutövaren lägger ut drift, underhåll eller skötsel av en viss del
av sin verksamhet till en utomstående leverantör (se promemorian Skärpt kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet, Ju 2017/07544/L4 s. 27). Det kan
t.ex. handla om att man lägger ut underhållet av ett system eller utveckling av någon produkt på en extern leverantör. Oavsett vilken definition man använder, torde det leda till i allt väsentligt samma resultat. Det centrala är att det handlar om en del av den egna verksamheten. Vidare är det centralt att det handlar om någon form av tjänst eller verksamhet och inte om ett köp av varor. Det rör sig således om utkontraktering när en verksamhetsutövare lägger ut hela eller delar av sin it-drift på en extern aktör. Däremot utgör det inte utkontraktering att upphandla teknisk utrustning som behövs för den egna it-driften.
Utkontraktering från en myndighet sker ofta genom en upphandling, men därmed inte sagt att all upphandling avser utkontraktering. Om en myndighet ska anskaffa teknisk utrustning till verksamheten måste många gånger ett upphandlingsförfarande
1 En motsvarande definition finns i artikel 2.3 kommissionens delegerade förordning (EU) 2017/565 av den 25 april 2016 om komplettering av Europaparlamentets och rådets direktiv 2014/64/EU vad gäller organisatoriska krav och villkor för verksamheten i värdepappersföretag. Se även betänkandet Juridik som stöd för förvaltningens digitalisering (SOU 2018:25) s. 333 och 334.
163
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
tillämpas. Som framgått i det föregående handlar det dock inte om någon utkontraktering. Reglerna om upphandling gäller dessutom i huvudsak inte för enskilda verksamhetsutövare. Dessa kan alltså utkontraktera hela eller delar av sin verksamhet utan ett upphandlingsförfarande.
Upplåtelse
I rättsliga sammanhang brukar begreppet överlåtelse användas för att beteckna en övergång av äganderätt genom försäljning, byte eller gåva. När avtalet avser en mer begränsad rätt än äganderätt används i stället termen upplåtelse. Typexempel på upplåtelser är bl.a. avtal om hyra, leasing, arrende och andra nyttjanderätter som inte innebär att ägaren lämnar över sin äganderätt.
6.2 Förhållandet till angränsande utredningar och reglering
Parallellt med den här utredningen pågår det ett antal utredningar som har att överväga frågor som angränsar till vårt uppdrag. Med anledning av detta har vi haft underhandskontakter med dessa utredningar, vilket vi har redogjort för i avsnitt 2.3. Våra överväganden i det här kapitlet och i kapitel 7 ger anledning till vissa resonemang om hur vårt uppdrag förhåller sig till andra utredningar på angränsande områden, och till reglering på olika områden där det kan bedrivas säkerhetskänslig verksamhet.
6.2.1 Förhållandet till områdesreglering
En första fråga är hur säkerhetsskyddsregleringen, och i synnerhet bestämmelser som inskränker verksamhetsutövares rätt att i olika avseenden disponera över sin verksamhet och egendom som används i verksamheten, förhåller sig till annan reglering. Vi tänker då i första hand på sådan reglering som specifikt avser en viss sorts verksamhet, t.ex. elektronisk kommunikation, finansiella tjänster eller kärnteknisk verksamhet. I sådan reglering finns det ofta krav på t.ex. tillstånd för att bedriva verksamheten och regler om återkallelse av
164
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
tillstånd. Det kan också finnas särskilda bestämmelser om överlåtelse eller utkontraktering av verksamheten eller en del av den, eller av tillstånd att bedriva en viss verksamhet. Ett exempel på det är lagen (2003:389) om elektronisk kommunikation (LEK), som innehåller bestämmelser om överlåtelse av tillstånd att använda radiosändare eller nummer (2 kap. 23 § LEK).
Säkerhetsskyddsregleringen är generell och gäller för säkerhetskänslig verksamhet oavsett inom vilket område som verksamheten bedrivs. Dess bestämmelser är allmänt hållna, och är begränsade på så sätt att de bara ska tillämpas på den del av en verksamhet som är säkerhetskänslig. Enligt vår uppfattning är det oundvikligt att säkerhetsskyddslagens bestämmelser i vissa delar kan komma att överlappa områdesspecifik lagstiftning. Så förhåller det sig redan i dag. Det är inte möjligt att i säkerhetsskyddslagen beakta sådana tänkbara överlappningar. Detta gäller särskilt som säkerhetsskyddsregleringen ska kunna stå sig över tid och vara utformad så att den ska kunna omfatta nya verksamheter (prop. 2017/18:89 s. 35). Eventuella regler om t.ex. utkontraktering eller upplåtelse av säkerhetskänslig verksamhet ersätter inte områdesspecifika regler och kompenserar heller inte för eventuella ofullständigheter i dem. Det är alltså fråga om ett kompletterande system som bara gäller i de fall det är fråga om säkerhetskänslig verksamhet.
Våra överväganden i detta kapitel och kapitel 7 bör läsas mot bakgrund av ovanstående.
6.2.2 Förhållandet till utredningen om förbättrat skydd för totalförsvarsverksamhet
Det som sagts under föregående rubrik har styrt vårt förhållningssätt till angränsande utredningar. Vi har alltså i princip haft hållningen att förhållandena på olika områden inte kan beaktas i den generellt utformade säkerhetsskyddslagen, utan att andra utredningar i stället måste förhålla sig till säkerhetsskyddslagen. Även med beaktande av detta finns det anledning att uppehålla sig något vid utredningen om förbättrat skydd för totalförsvarsverksamhet (dir. 2017:31). I direktiven till den utredningen anges följande.
Det finns ett behov av att närmare analysera om det bör finnas ett särskilt kontrollsystem eller liknande vid överlåtelse och upplåtelse av viktigare infrastruktur som ägs av staten, kommunerna,
165
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
landstingen, företag eller andra enskilda och som bedöms vara av väsentligt intresse för totalförsvaret. Som exempel på viktigare infrastruktur kan nämnas hamnar, flygplatser, energianläggningar och förmedlingsstationer för telekommunikation. Kommittén ska därför bl.a., om det finns behov, föreslå åtgärder, t.ex. tillståndsprövning, för att förebygga och hindra att väsentliga totalförsvarsintressen exponeras för risker i samband med överlåtelse och upplåtelse av viktigare infrastruktur som bedöms vara av väsentligt intresse för totalförsvaret. Denna del av uppdraget angränsar till vårt uppdrag, varför vi har övervägt hur uppdragen förhåller sig till varandra. För att förstå relationen mellan utredningarnas uppdrag är det nödvändigt att titta närmare på hur säkerhetsskyddslagens tillämpningsområde förhåller sig till totalförsvarsverksamheten.
Under högsta beredskap är totalförsvaret all samhällsverksamhet som då ska bedrivas. Totalförsvaret består av militär verksamhet och civil verksamhet, se lagen (1992:1402 om totalförsvar och höjd beredskap. Försvarsmakten ska upprätthålla och utveckla ett militärt försvar, se 1 § förordningen (2007:1266) med instruktion för Försvarsmakten. Det civila försvaret utgörs av verksamhet som ansvariga aktörer genomför i syfte att göra det möjligt för samhället att hantera situationer då beredskapen höjs. Det bedrivs av statliga myndigheter, kommuner, landsting, privata företag och frivilligorganisationer och avser skydd av befolkningen, säkerställande av samhällsviktiga funktioner och övriga samhällets stöd till Försvarsmakten. I prop. 2017/18:89 anges att de senaste årens omvärldsutveckling och återupptagandet av planeringen för totalförsvaret talar för att det militära och civila försvaret alltjämt bör ses som en central del av säkerhetsskyddslagstiftningens skyddsområde (s. 41).
Det finns således ett klart samband mellan totalförsvarsverksamheten och säkerhetsskyddslagen. Samtidigt ska det vägas in att säkerhetsskyddslagen tar sikte på verksamhet som är av betydelse för Sveriges säkerhet.
2
Det räcker alltså inte att verksamheten är
samhällsviktig för att den ska anses vara av betydelse för Sveriges säkerhet. Avgörande för om samhällsviktig verksamhet också kan anses röra Sveriges säkerhet, och därmed omfattas av säkerhetsskyddslagens tillämpningsområde, är i stället att en antagonistisk
2 Enligt 1 § första stycket nya säkerhetsskyddslagen gäller lagen också för den som till någon del bedriver verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
166
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
handling mot verksamheten skulle kunna medföra skadekonsekvenser på nationell nivå. Emellertid kompliceras bilden av att begreppet Sveriges säkerhet inte ska tolkas så kategoriskt. Skyddsvärda verksamheter kan trots kravet på nationell betydelse finnas på regional eller till och med lokal nivå (prop. 2017/18:89 s. 43 och 44). Enligt vår bedömning är det rimligt att anta att en betydande del av totalförsvarets militära verksamhet ryms inom säkerhetsskyddslagens tillämpningsområde medan en något mindre del av den civila verksamheten omfattas (jfr Ds 2017:66 s. 29–32 och prop. 2017/18:89 s. 38–49 och 52). Vår slutsats är därför att en relativt stor del av totalförsvarsverksamheten kan komma att inrymmas inom säkerhetsskyddslagens tillämpningsområde.
När det gäller sambandet mellan vårt uppdrag och den infrastruktur som omfattas av uppdraget för utredningen Förbättrat skydd för
totalförsvarsverksamhet så kan det konstateras att säkerhetsskyddslag-
stiftningen är inriktad på säkerhetskänslig verksamhet och skyddet av uppgifter om sådan verksamhet. Det framgår dock att fysiska objekt har en framträdande roll inom säkerhetsskyddet. Bland annat är verksamhetsutövare skyldiga att vidta säkerhetsskyddsåtgärder som förebygger att obehöriga får tillträde till fysiska objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där den säkerhetskänsliga verksamheten bedrivs. Skyldigheten gäller också att förebygga skadlig inverkan på sådana fysiska objekt (2 kap. 3 § nya säkerhetsskyddslagen). En rimlig slutsats är därför att den infrastruktur som pekas ut i direktiven till utredningen om förbättrat skydd för totalförsvarsverksamhet, dvs. viktigare infrastruktur som hamnar, flygplatser, energianläggningar och förmedlingsstationer för telekommunikation, också kan vara en del av säkerhetskänslig verksamhet.
Även de kontrollsystem som omnämns i respektive direktiv uppvisar likheter. Enligt våra direktiv kan det handla om en möjlighet för staten att ingripa om en överlåtelse eller upplåtelse kan antas inverka negativt på Sveriges säkerhet. I direktiven till utredningen om förbättrat skydd för totalförsvarsverksamhet omnämns ett särskilt kontrollsystem eller liknande vid upplåtelse eller överlåtelse av viktigare infrastruktur. I båda direktiven nämns tillståndsprövning som en möjlig åtgärd.
167
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Mot denna bakgrund är vår bedömning att det finns en överlappning mellan vårt uppdrag och uppdraget till utredningen om förbättrat skydd för totalförsvarsverksamhet när det kommer till frågan om upplåtelser och överlåtelser. Med hänsyn till detta har vi löpande samrått med ordföranden och sekretariatet i utredningen om förbättrat skydd för totalförsvarsverksamhet. Vi konstaterar dock att säkerhetsskydd avser det allra mest skyddsvärda i samhället, oavsett om det hör till totalförsvaret eller inte. Det är bl.a. därför inte lämpligt för oss att lämna förslag som tar höjd för de förslag som kan komma att lämnas av utredningen om förbättrat skydd för totalförsvarsverksamhet. Våra förslag måste gälla och vara lämpliga för all slags säkerhetskänslig verksamhet. Den lämpligaste lösningen är därför att den reglering som läggs fram i en totalförsvarskontext förhåller sig till säkerhetsskyddslagen snarare än tvärtom.
6.3 Den relevanta regleringen
Liksom i övrigt i betänkandet utgår vår beskrivning av regleringen från den nya säkerhetsskyddslagen och nya säkerhetsförordningen som träder i kraft den 1 april 2019. Nu gällande säkerhetsskyddslag respektive förordning beskrivs endast om det är relevant. En överblick av den nya säkerhetsskyddslagen finns i avsnitt 3.4.
6.3.1 Säkerhetsskyddsavtal
Som har utvecklats i kapitel 5 finns det i 2 kap. 6 § nya säkerhetsskyddslagen bestämmelser om att verksamhetsutövare som omfattas av lagen i vissa fall är skyldiga att ingå säkerhetsskyddsavtal med leverantörer. I ett säkerhetsskyddsavtal ska verksamhetsutövaren ange hur leverantören ska tillgodose kraven på säkerhetsskydd enligt 2 kap. 1 § nya säkerhetsskyddslagen. Syftet är att skapa en garanti för att säkerhetsskyddet är lika starkt oavsett vem som utför den säkerhetskänsliga verksamheten. Enligt bestämmelserna i 2 kap. 6 § är statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader skyldiga att teckna ett säkerhetsskyddsavtal med leverantören om
168
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
1. det i upphandlingen förekommer säkerhetsskyddsklassificerade
uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. upphandlingen i övrigt avser eller ger leverantören tillgång till
säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Skyldigheten att ingå ett säkerhetsskyddsavtal med leverantören gäller också i motsvarande fall för enskilda verksamhetsutövare som ingår avtal om varor, tjänster och byggentreprenader med utomstående leverantörer.
En närmare beskrivning av reglerna om säkerhetsskyddsavtal finns i avsnitt 5.2. I avsnitt 5.4 har vi lämnat förslag som i korthet går ut på att skyldigheten att ingå säkerhetsskyddsavtal utvidgas.
6.3.2 Samrådsskyldighet, föreläggande och förbud
Den 1 april 2018 infördes en ny paragraf – 16 a § – i gamla säkerhetsskyddsförordningen. De nya bestämmelserna innebär att en statlig myndighet som avser att inleda en upphandling som innebär krav på säkerhetsskyddsavtal måste vidta vissa åtgärder innan upphandlingen inleds, om leverantören kan få tillgång till eller möjlighet att förvara hemliga uppgifter utanför myndighetens lokaler. När paragrafen är tillämplig måste myndigheten redan innan upphandlingen inleds
1. undersöka och dokumentera vilka hemliga uppgifter som leveran-
tören kan få del av och som kräver säkerhetsskydd (särskild säker-
hetsanalys), och
2. samråda med den tillsynsmyndighet som har tillsyn över myn-
digheten.
Enligt bestämmelserna får tillsynsmyndigheten förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas får tillsynsmyndigheten vidare besluta att myndigheten inte får genom-
169
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
föra upphandlingen. Ytterst finns det alltså en möjlighet för tillsynsmyndigheten att stoppa en planerad upphandling, om det bedöms att kraven på säkerhetsskydd inte kan uppfyllas.
Bestämmelser med ett liknande innehåll finns även i 2 kap. 6 § nya säkerhetsskyddsförordningen som träder i kraft den 1 april 2019. Vissa förändringar har gjorts i förhållande till 16 a § gamla förordningen. Även de nya bestämmelserna tar sikte på statliga myndigheter som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal. Reglerna innebär att statliga myndigheter under vissa förutsättningar ska vidta särskilda åtgärder innan ett sådant förfarande inleds. Om bestämmelserna är tillämpliga ska myndigheten dels göra och dokumentera en särskild analys – i nya förordningen kallad särskild säkerhetsbedömning – dels samråda med en tillsynsmyndighet. De beskrivna skyldigheterna gäller i två fall.
Det ena fallet motsvarar delvis vad som gäller enligt 16 a § gamla förordningen och avser situationer där leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter utanför myndighetens lokaler. En viktig skillnad i förhållande till den tidigare regleringen är dock att skyldigheterna har kopplats till de nya bestämmelserna om säkerhetsskyddsklassificering av uppgifter (2 kap. 5 § nya lagen). Skyldigheten att göra en särskild säkerhetsbedömning och att samråda gäller enligt den nya bestämmelsen bara om uppgifterna hör till säkerhetsskyddsklassen hemlig eller högre. Skyldigheterna gäller alltså bara för uppgifter som hör till de två högsta säkerhetsskyddsklasserna; hemlig och kvalificerat hemlig.
Det andra fallet där skyldigheterna enligt paragrafen gäller är om leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. Detta är en nyhet i förhållande till 16 a § gamla förordningen. Valet av nivån allvarlig skada innebär att skadan motsvarar vad som gäller för placering av uppgifter i den näst högsta säkerhetsskyddsklassen, dvs. hemlig.
I likhet med vad som gäller enligt 16 a § gamla förordningen får tillsynsmyndigheten dels förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen, dels besluta att myndigheten inte får genomföra upphandlingen om ett föreläggande inte följs eller om
170
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas.
Det finns inte några särskilda bestämmelser i nya säkerhetsskyddslagen eller förordningen som handlar om upplåtelser. Verksamhetsutövare som upplåter hela eller delar av den säkerhetskänsliga verksamheten, t.ex. en lokal där sådan verksamhet bedrivs, omfattas inte av något krav på att ingå säkerhetsskyddsavtal med hyresgästen. Vi utvecklar detta närmare i kapitel 5, där vi också föreslår att skyldigheten att ingå ett säkerhetsskyddsavtal utvidgas till bl.a. dessa situationer.
6.3.3 Upphandling
Allmänt om offentlig upphandling
Som har framgått i det föregående kommer en utkontraktering från en myndighet normalt ske genom en upphandling. Med upphandling avses de åtgärder som vidtas i syfte att anskaffa varor, tjänster eller byggentreprenader genom tilldelning av kontrakt (1 kap. 2 § lagen [2016:1145] om offentlig upphandling, LOU). Reglerna om offentlig upphandling bygger till stor del på EU-direktiv och syftar bl.a. till att främja ett kostnadseffektivt användande av skattemedel genom att ta tillvara konkurrensen på marknaden och att säkerställa att offentlig upphandling överensstämmer med principerna i fördraget om Europeiska unionens funktionssätt.
3
Grundprinciperna bygger
på objektivitet och öppenhet. De upphandlande myndigheterna ska vara sakliga och välja leverantör utifrån det som köps. Det får inte förekomma lojalitet mot det egna landets leverantörer eller tidigare leverantörer. Valet av leverantör ska ske på affärsmässig grund och baseras på vilken leverantör som erbjuder den bästa varan eller tjänsten till de bästa villkoren. Alla leverantörer, oavsett nationellt ursprung, ska få möjlighet att tävla på samma villkor i varje upphandling.
En upphandlande myndighet måste först och främst avgöra om upphandlingen kommer över eller under vissa tröskelvärden, som i sin tur avgör om de nationella reglerna eller de regler som följer av EU-direktiv ska tillämpas. Tröskelvärdena är fastställda till en nivå
3 Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG. Se även prop. 2017/18:1, utgiftsområde 2, avsnitt 8.2 angående regeringens mål med offentlig upphandling.
171
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
där företag inom EU och EES förväntas vara intresserade av att lägga anbud över nationsgränserna. För den upphandlande myndigheten finns ett antal möjliga upphandlingsförfaranden att välja mellan beroende på om upphandlingens värde hamnar över eller under tröskelvärdena. Vissa förfaranden kan användas såväl under som över tröskelvärdena. Den upphandlande myndigheten måste givetvis också ta ställning till om LOU eller någon av de andra upphandlingslagarna ska tillämpas på upphandlingen (se vidare i det följande).
Det första ledet i själva upphandlingen är att den upphandlande myndigheten tar fram ett förfrågningsunderlag. Det är det underlag som den upphandlande myndigheten ger leverantörerna. Förfrågningsunderlaget ska innehålla samtliga handlingar för upphandlingen. Genom förfrågningsunderlaget ska den upphandlande myndigheten säkerställa att upphandlingen tillgodoser verksamhetens behov, utnyttjar konkurrensen på marknaden och genomförs rättssäkert och effektivt. Som vi kommer att uppmärksamma i avsnitt 6.7 är det viktigt att myndigheter som omfattas av säkerhetsskyddslagen noga tänker igenom vilka krav på säkerhetsskydd och andra villkor som kan behövas i en säkerhetsskyddad upphandling med säkerhetsskyddsavtal.
I ett förfrågningsunderlag anges bl.a. administrativa villkor för upphandlingens genomförande, krav på leverantören, krav på upphandlingsföremålet (kallas ibland teknisk specifikation eller kravspecifikation), anbudsutvärdering och tilldelningskriterier samt kontraktsvillkor som ska gälla under avtalstiden. Leverantörer på marknaden får därefter tillfälle att lämna in anbud. De närmare förutsättningarna för detta beror på vilket upphandlingsförfarande som tillämpas.
Vissa omständigheter, däribland allvarlig ekonomisk brottslighet, medför att en anbudsgivare måste uteslutas från upphandlingen. Andra omständigheter medför att anbudsgivaren får uteslutas – men bara om myndigheten har angett det i förfrågningsunderlaget. I LOU finns det inte någon uteslutningsgrund som specifikt tar sikte på konsekvenser för nationell säkerhet. Dock finns det i vissa situationer grund för att inte tillämpa LOU om detta skulle äventyra Sveriges väsentliga säkerhetsintressen. Vi återkommer till detta under rubriken Undantag från LOU.
Det finns inga regler i LOU om när en påbörjad upphandling får avbrytas. Enligt praxis krävs att det finns sakliga skäl för att avbryta upphandlingen och att avbrytandet följer de upphandlingsrättsliga
172
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
principerna om objektivitet m.m. Det är den upphandlande myndigheten som ska bevisa att det faktiskt föreligger sakliga skäl för avbrytande. Sakliga skäl för att avbryta har i praxis ansetts vara exempelvis bristande konkurrens, oförutsedda händelser, felaktigt utformad utvärderingsmodell och ett alltför högt pris.
Om upphandlingen fullföljs ska den upphandlande myndigheten tilldela uppdraget till en eller flera av anbudsgivarna och meddela samtliga som lämnat anbud om detta. Efter att tilldelningsbeslutet fattats måste myndigheten avvakta under en viss tid innan den ingår ett affärsavtal med den eller dem som vunnit upphandlingen (avtalsspärr).
Lagen om upphandling på försvars- och säkerhetsområdet
Upphandlingar som rör försvar eller säkerhet undantas från LOU:s tillämpningsområde. När det gäller upphandling av bl.a. militär utrustning och utrustning av känslig karaktär finns i stället bestämmelser i lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet, LUFS.
LUFS gäller, med vissa särskilt angivna undantag, för upphandling på försvars- och säkerhetsområdet av
1. militär utrustning, inklusive alla tillhörande delar, komponenter
och delar av komponenter,
2. utrustning av känslig karaktär, inklusive alla tillhörande delar,
komponenter och delar av komponenter,
3. byggentreprenader, varor och tjänster som direkt hänför sig till
den utrustning som avses i 1 och 2, under hela dess livslängd, eller
4. byggentreprenader och tjänster särskilt avsedda för militära syf-
ten eller byggentreprenader och tjänster av känslig karaktär.
Syftet med reglerna är att skapa förutsättningar för upphandlingar av sådan materiel och sådana tjänster som är av så känslig natur att det inte är lämpligt att tillämpa de ordinarie upphandlingsreglerna. Till stora delar stämmer reglerna överens med vad som gäller vid ordinarie upphandling, exempelvis när det gäller förfarandet och reglerna om överprövning. Men det finns också vissa skillnader. Till
173
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
skillnad från övriga upphandlingslagar innehåller LUFS bestämmelser om informationssäkerhet, försörjningstrygghet och underentreprenad.
Det finns undantagsregler som innebär att lagen i vissa fall inte gäller. Bland annat får regeringen enligt 1 kap. 9 § LUFS i enskilda fall besluta om de undantag från bestämmelserna i lagen som är nödvändiga med hänsyn till Sveriges väsentliga säkerhetsintressen när det gäller upphandling som avser sådan tillverkning av eller handel med vapen, ammunition och krigsmateriel som omfattas av artikel 346.1 b i EUF-fördraget och där vissa andra undantagsbestämmelser inte är tillämpliga. Andra undantag handlar bl.a. om kontrakt för vilka tillämpningen av lagen skulle kräva att en upphandlande myndighet eller enhet tillhandahåller information vars avslöjande strider mot Sveriges väsentliga säkerhetsintressen och vissa kontrakt som avser underrättelseverksamhet.
Som nämndes tidigare finns det i LUFS särskilda regler om informationssäkerhet. Skälet till det är att det i upphandlingar enligt lagen ofta förekommer uppgifter av känslig karaktär. Uppgifter som omfattas av sekretess eller på annat sätt är känsliga kan bl.a. förekomma i kravspecifikationer eller i kontrakt. Sådana uppgifter kan också komma en leverantör till del i ett senare skede, t.ex. i samband med fullgörandet av ett kontrakt. Det har därför i LUFS införts bestämmelser som avser att säkerställa att uppgifter av känslig karaktär, vilka lämnas av den upphandlande myndigheten eller enheten under eller efter ett upphandlingsförfarande, behandlas på ett så säkert sätt som möjligt av en leverantör (prop. 2010/11:150 del 1 s. 252–268).
Vidare finns det i LUFS särskilda regler om uteslutning av en leverantör med hänsyn till Sveriges säkerhet. I 11 kap. 2 § LUFS anges att en leverantör får uteslutas från att delta i en upphandling om leverantören, på grundval av någon form av bevis som även kan bestå av skyddade uppgiftskällor, har kunnat konstaterats inte vara så tillförlitlig som krävs för att inte äventyra Sveriges säkerhet. I preamblarna till det direktiv som ligger till grund för lagen finns det viss vägledning till hur kravet på tillförlitlighet ska förstås.
4
Det
anges där bl.a. att tillförlitligheten hos leverantörer på de känsliga försvars- och säkerhetsområdena särskilt beror på leverantörens möjlighet att möta de krav som den upphandlande enheten ställer på
4 Europaparlamentets och rådets direktiv 2009/81/EG av den 13 juli 2009 om samordning av förfarandena vid tilldelning av vissa kontrakt för byggentreprenader, varor och tjänster av upphandlande myndigheter och enheter på försvars- och säkerhetsområdet och om ändring av direktiven 2004/17/EG och 2004/18/EG, preambeln p. 65, 67 och 68.
174
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
”security of supply” och informationssäkerhet. Vidare anges det att direktivet inte hindrar en upphandlande enhet från att utesluta en leverantör i vilket som helst skede av en upphandling, om den upphandlande enheten har information som visar att det skulle kunna innebära en risk
5
för medlemsstatens väsentliga säkerhetsintressen
(essential security interests) att tilldela hela eller delar av kontraktet till leverantören i fråga. Sådana risker kan enligt direktivet antingen handla om egenskaper hos de produkter som anbudsgivaren tillhandahåller, eller anbudsgivarens ägarstruktur. Det är möjligt att även i ett sent skede av en upphandling utesluta en leverantör som inte möter tillförlitlighetskraven.
Lagen om upphandling inom försörjningssektorerna
Upphandlingar som genomförs av en upphandlande enhet för verksamhet inom områdena vatten, energi, transporter eller posttjänster (de s.k. försörjningssektorerna) regleras i lagen (2016:1146) om upphandling inom försörjningssektorerna, LUF. Lagen gäller inte om LUFS är tillämplig eller något undantag enligt LUFS gäller. Det finns också i denna lag ett antal undantagsregler där det räknas upp situationer då lagen inte ska tillämpas.
Undantag från LOU
LOU ska tillämpas om en upphandling på försvars- och säkerhetsområdet inte omfattas av LUFS eller någon undantagsbestämmelse i den lagen. Det finns emellertid vissa undantag från detta. Enligt det första undantaget, som finns i 3 kap. 4 § LOU, ska LOU inte gälla för upphandlingen eller projekttävlingen om
1. skyddet av Sveriges väsentliga säkerhetsintressen inte kan säker-
ställas om upphandlingen eller projekttävlingen genomförs enligt lagen, eller
2. en tillämpning av lagen skulle kräva att en upphandlande myn-
dighet tillhandahåller information vars avslöjande strider mot Sveriges väsentliga säkerhetsintressen.
5 I direktivet används ordet risk, varför vi använder det även här för att återge direktivets innehåll.
175
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
En förutsättning för att ett kontrakt ska kunna undantas med stöd av första punkten är att det inte är möjligt att tillgodose behovet genom tillämpning av LOU. Om det går att uppnå skyddet genom mindre ingripande åtgärder under upphandlingsförfarandet eller projekttävlingen, som t.ex. genom att ingå ett säkerhetskyddsavtal med berörda leverantörer enligt säkerhetsskyddslagen eller lämna ut handlingar med förbehåll enligt offentlighets- och sekretesslagen (2009:400, OSL), får undantaget inte tillämpas.
Ett annat undantag finns i 3 kap. 5 § LOU. Enligt den paragrafen gäller inte LOU när upphandlingen och fullgörandet av kontraktet eller projekttävlingen omfattas av sekretess eller rör Sveriges väsentliga intressen, om det skydd som behövs inte kan säkerställas vid en upphandling eller en projekttävling enligt LOU. Paragrafen möjliggör undantag för upphandlingar och projekttävlingar på grund av sekretess eller Sveriges väsentliga intressen. Bestämmelsen riktar in sig på situationer då undantag krävs utan att det är fråga om ett försvars- eller säkerhetsintresse, exempelvis upphandlingar som avser sådana säkerhets- eller bevakningsåtgärder som omfattas av sekretess enligt 18 kap. 8 § OSL (prop. 2010/11:150 del 1 s. 450).
Det finns även vissa andra undantag i 3 kap. LOU, som vi dock avstår från att gå närmare in på här.
6.4 Problembeskrivning
Vi ska enligt direktiven kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering och upplåtelse. Som ett första steg i den kartläggningen kommer vi i detta avsnitt att beskriva problem som i dag förekommer i samband med bl.a. utkontraktering och upplåtelse av säkerhetskänslig verksamhet. Problembeskrivningen bygger på det skriftliga material som vi redovisar och på vad som framkommit vid våra möten med myndigheter, enskilda och utredningens experter.
Flera av de exempel som vi använder handlar om utkontraktering. Vi ser dock att exemplen också har relevans när det kommer till upplåtelse av säkerhetskänslig verksamhet, eftersom det i grunden handlar om samma eller liknande brister i verksamhetsutövarnas arbete med säkerhetsskyddet. Som antyddes i beskrivningen av vårt
176
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
uppdrag (avsnitt 6.1) ser vi också att de problem som vi lyfter fram har relevans för andra situationer än just utkontraktering och upplåtelse av säkerhetskänslig verksamhet. Vi återkommer till denna fråga i avsnitt 6.5.
Innan vi går in på själva problembeskrivningen finns det anledning att säga några ord om hur teknikutvecklingen har medfört en ökad sårbarhet vid bland annat utkontraktering. Beskrivningen bygger på uppgifter från Säkerhetspolisen och Försvarsmakten.
6
6.4.1 Teknikutvecklingen har ökat Sveriges sårbarhet
Digitaliseringen är den enskilt största förändringsfaktorn i vår tid och påverkar alla delar av samhället. I ett digitaliserat samhälle och en globaliserad omvärld är elektroniska angrepp ett av de allvarligare hoten. Det innebär samtidigt att bristande informationssäkerhet är en av de allvarligare sårbarheterna, vilket ger upphov till stora konsekvenser för säkerhetsskyddet. Offentlig it-infrastruktur utsätts allt mer för elektroniska angrepp och underrättelseverksamhet.
I dag ansvarar varje myndighet för sin egen it-verksamhet samtidigt som investeringar i it-säkerhet kan upplevas som alltför kostsamma. Inför stora investeringar ställs myndigheter ofta inför frågan om alla arbetsuppgifter bör utföras inom den egna organisationen eller utkontrakteras. Utkontraktering kan innebära att myndigheter visserligen effektiviserar men att de samtidigt förlorar kontrollen över vem som har åtkomst till skyddsvärd information. Även åtkomst till den egna informationen kan försvåras. Samtidigt medför utkontraktering en risk för att kompetens försvinner.
En utgångspunkt i allt säkerhetsskyddsarbete är att säkerkänsliga uppgifter ska ha samma nivå av skydd oavsett i vilken verksamhet de förekommer. För att bibehålla ett högt säkerhetsskydd vid utkontraktering av säkerhetskänslig verksamhet krävs därför en förberedande säkerhetsskyddsanalys. Det krävs också insikt om den egna verksamhetens nationella betydelse och beroendeförhållanden. I varje enskilt fall finns det dessutom anledning att bedöma om det över huvud taget är lämpligt att utkontraktera verksamheten.
6 Säkerhetspolisens skrivelse den 1 september 2017 med diarienummer 845897 och Försvarsmaktens skrivelse den 25 augusti 2017 med diarienummer FM2017-15532:2.
177
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Stora konsekvenser kan uppstå när it-drift läggs ut hos privata företag. Utkontraktering kan innebära att flera kunders system och information samlas i samma lagringsmedium eller lagringsmiljö, vilket innebär en ökad exponering.
Vissa företag ser ett bra säkerhetsarbete som en konkurrensfördel och satsar därför resurser på säkerhet. Andra företag har inga incitament för att investera i säkerhetshöjande åtgärder som ofta är kostsamma och produktionshämmande.
Även i den nationella säkerhetsstrategin understryks att digitaliseringen har påverkan på Sveriges säkerhet.
7
I säkerhetsstrategin
nämns att digitaliseringen medför risker och hot som är förknippade med några av de mest komplexa säkerhetsutmaningarna. Som exempel anges antagonistiska hot som informationsoperationer och elektroniska angrepp mot skyddsvärda informations- och kommunikationssystem, t.ex. i form av dataintrång, sabotage eller spionage.
6.4.2 Verksamhetsutövare tillämpar inte säkerhetsskyddslagen
I betänkandet En ny säkerhetsskyddslag (SOU 2015:25) anges att det antagligen finns verksamheter av stor betydelse för Sveriges säkerhet som över huvud taget inte tillämpar säkerhetsskyddslagstiftningen (s. 477). Bilden stöds av det som framkommit under våra möten med myndigheter, enskilda och utredningens experter. Den stöds också av en enkät som tidningen Dagens samhälle låtit göra.
8
Enligt
enkäten hade 118 av 165 kommuner som svarade på enkäten över huvud taget inte gjort någon säkerhetsanalys (numera säkerhetsskyddsanalys, jfr 5 § gamla säkerhetsskyddsförordningen och 2 kap. 1 § första stycket nya säkerhetsskyddslagen). Resultatet är anmärkningsvärt eftersom samtliga kommuner enligt 3 och 5 §§ gamla säkerhetsskyddsförordningen ska undersöka vilka uppgifter i deras verksamhet som ska hållas hemliga med hänsyn till rikets säkerhet och vilka anläggningar som kräver säkerhetsskydd. I artikeln i Dagens samhälle ges också exempel på utkontraktering som inte föregåtts av någon säkerhetsanalys. Med hänsyn till det anförda utgår vi i våra
7 Nationell säkerhetsstrategi, Statsrådsberedningen 2017 s. 17–20. 8 Kleja, Dagens samhälle, Dålig koll på känsliga uppgifter i kommuner, publicerad den 5 oktober 2017.
178
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
överväganden ifrån att det finns säkerhetskänsliga verksamheter som inte tillämpar reglerna om säkerhetsskydd.
Att verksamhetsutövare som bedriver säkerhetskänslig verksamhet inte tillämpar säkerhetsskyddslagstiftningen är i sig allvarligt eftersom det innebär en sårbarhet för de värden som lagstiftningen ska skydda. Inte minst innebär det en överhängande risk för att man inte gör en säkerhetsskyddsanalys, vilket i sin tur kan leda till bristande kunskap om de egna skyddsvärdena. Det framstår som särskilt allvarligt med brister i tillämpningen vid utkontraktering och upplåtelse, eftersom säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter därigenom kan utsättas för ytterligare sårbarheteter. En utebliven eller bristande säkerhetsskyddsanalys kan leda till att verksamhet utkontrakteras eller andra slags förfaranden inleds i fall där det av säkerhetsskyddskäl inte borde ske. I andra fall kan det leda till att en i och för sig lämplig utkontraktering, upplåtelse eller något annat förfarande äger rum utan att det ingås ett säkerhetsskyddsavtal. Detta innebär givetvis en ökad risk för att motparten i avtalet inte vidtar de säkerhetsskyddsåtgärder som behövs, vilket kan leda till sårbarheter och skador för Sveriges säkerhet. Detsamma gäller om säkerhetsskyddsavtalet får ett bristfälligt innehåll. Vi anser därför att det finns behov av förebyggande åtgärder som minimerar risken för att verksamhetsutövare som bedriver säkerhetskänslig verksamhet inte tillämpar säkerhetsskyddslagstiftningen. Den omständigheten att den nya säkerhetsskyddslagen i större utsträckning än tidigare kommer att gälla för enskilda verksamhetsutövare understryker enligt vår bedömning behovet av förebyggande åtgärder.
6.4.3 Bristande kunskaper om egna skyddsvärden
En bild som tydligt framträtt under utredningens möten med experter, myndigheter och enskilda är att många verksamhetsutövare saknar tillräcklig kunskap om vilka skyddsvärden som finns i den egna verksamheten. Sådana brister har ofta blivit synliga inför och under utkontrakteringar. Säkerhetspolisen har bland annat observerat att det har förekommit utkontraktering av säkerhetskänslig verksamhet utan säkerhetsskyddsavtal, att säkerhetsskyddet vid utkontraktering har dimensionerats på fel sätt och att verksamhetsutövare har saknat
179
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
kunskap om verksamhetens roll i samhället, dess betydelse för Sveriges säkerhet och om beroenden mellan den utkontrakterade verksamheten och annan verksamhet av betydelse för Sveriges säkerhet. Iakttagelsen att det finns brister i det interna säkerhetsskyddsarbetet inför utkontrakteringar bekräftas i Säkerhetspolisens rapport om säkerhetsskyddet hos myndigheter med höga skyddsvärden.
9
Bristerna kan enligt vår mening i stor utsträckning härledas till bristande kunskaper om den egna verksamhetens skyddsvärden. Vi har sett exempel på verksamhetsutövare som inte känt till vilka känsliga uppgifter som hanterats i verksamheten. Vi har också sett exempel på verksamhetsutövare som inte varit medvetna om vilka beroenden som finns till den egna verksamheten och hur dessa beroenden påverkar Sveriges säkerhet. Sådana brister utgör enligt vår bedömning ett påtagligt problem vid utkontrakteringar eftersom kunskap om egna skyddsvärden är en förutsättning för att verksamhetsutövaren ska kunna formulera krav på hur leverantören ska tillgodose kraven på säkerhetsskydd. Som har framgått av våra resonemang i kapitel 5 menar vi att det är lika viktigt att ställa sådana krav även i många andra situationer där säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet exponeras för någon utomstående genom t.ex. ett avtal om en upplåtelse eller något annat samarbete. Vi har därför föreslagit att skyldigheten att ingå säkerhetsskyddsavtal utvidgas till fler sådana situationer. Kunskap om egna skyddsvärden är då en förutsättning för att säkerhetsskyddsavtalet ska få ett lämpligt innehåll som tillgodoser kraven på säkerhetsskydd.
Vår bedömning att bristande kunskaper om skyddsvärden utgör ett problem vid bl.a. utkontrakteringar får även stöd av den granskning som gjorts av Transportstyrelsens upphandling av it-drift som presenterades i promemorian Granskningen av Transportstyrelsens
upphandling av it-drift (Ds 2018:6). En av slutsatserna av gransk-
ningen var att den helt grundläggande orsaken till att Transportstyrelsens upphandling kom att leda till ett röjande av uppgifter om rikets säkerhet och en bristfällig hantering av känsliga personuppgifter var att man i allt för hög grad saknade relevant kunskap om vilken information myndigheten hade, kännedom om hur denna
9 Säkerhetspolisens rapport Säkerhetsskydd hos myndigheter med mest skyddsvärd verksamhet s. 4, dnr 2017-25007-5.
180
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
information hanterades och vilka krav som ställdes på informationshanteringen (s. 220).
Det förekommer att skyddsvärden i och för sig genereras hos leverantörer men ändå är en del av beställarens verksamhet. Flera enskilda aktörer har till utredningen framfört att de för myndigheters räkning skapar skyddsvärden, antingen direkt eller över tid genom exempelvis aggregering av uppgifter. Enligt dessa enskilda aktörer saknas det dock såväl kunskap som intresse hos myndigheterna för denna typ av skyddsvärden. Även detta kan leda till att uppgifter får ett otillräckligt skydd vid utkontraktering. Problemet kan förväntas öka, eftersom den tekniska utvecklingen har skapat möjligheter att dela, inhämta, sammanställa och analysera uppgifter på ett sätt som tidigare varit omöjligt. Ur ett säkerhetsskyddsperspektiv är det mycket problematiskt att verksamhetsutövare som utkontrakterat en del av sin verksamhet inte följer sina skyddsvärden och upprätthåller kunskap om i vilka sammanhang uppgifterna används eller hur de skyddas.
Med hänsyn till det anförda bedömer vi att det behöver införas förebyggande åtgärder som syftar till att höja verksamhetsutövarnas kunskap om egna skyddsvärden. Detta är inte bara viktigt för att förebygga negativa konsekvenser vid utkontraktering utan också vid upplåtelser, upphandlingar och andra förfaranden där utomstående får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet.
6.4.4 Bristande eller utebliven bedömning av lämpligheten
En samhällsförändring som har haft stor inverkan på säkerhetsskyddet är avregleringen av offentlig verksamhet. De senaste decenniernas konkurrensutsättningar har medfört att verksamheter som rör Sveriges säkerhet i relativt stor utsträckning bedrivs i enskild regi. Samtidigt innebär den tekniska utvecklingen i förening med kraven på effektivitet och hushållning med statens resurser att offentliga verksamheter i större utsträckning ställts inför frågan om alla delar av verksamheten bör utföras inom den egna organisationen eller om tjänster i stället ska utföras av andra. Utkontraktering av it-
181
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
verksamhet nämns ofta som en möjlighet för att minska verksamheter s kostnader.
10
Vi har vid flera tillfällen uppmärksammats på att det förekommer att myndigheter mer eller mindre tar för givet att delar av deras verksamheter ska utkontrakteras, utan att myndigheterna dessförinnan har prövat det lämpliga i att utkontraktera säkerhetskänslig verksamhet. Denna bild bekräftas av Upphandlingsmyndigheten, som till utredningen har framfört att om säkerhetsfrågor över huvud taget tas upp med dem så sker det nästan alltid efter att de upphandlande myndigheterna redan har fattat beslut om konkurrensutsättning. Samma bild framträder också i granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6). I promemorian dras nämligen slutsatsen att Transportstyrelsen inte hade gjort ett tillfredsställande arbete med informationsklassning, säkerhetsanalys och dokumentation av it-system vid tidpunkten då upphandlingen inleddes. Dessutom saknade myndighetens it-försörjningsstrategi allmänna överväganden om lämpligheten att utkontraktera verksamhet, och strategin behandlade inte heller säkerhetsfrågor. Fokus låg i stället på effektivitet, kostnader och utvecklingspotential (s. 225).
Det är uppenbart att säkerhetskänslig verksamhet, och i förlängningen Sveriges säkerhet, kan äventyras när säkerhetsfrågor får en så undanskymd roll som beskrivits ovan. Den centrala fråga som inte besvaras om någon lämplighetensprövning inte genomförs är om det alls är möjligt för leverantören att upprätthålla skyddet av den säkerhetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna vid en utkontraktering. Det kan finnas verksamheter där det aldrig är lämpligt med en utkontraktering av t.ex. it-driften eller där bara begränsade delar kan utkontrakteras. Det finns också en risk för att man utelämnar frågan hur beställaren ska kunna följa sina skyddsvärden när utkontrakteringen väl är inledd.
För att vi ska kunna föreslå lämpliga förebyggande åtgärder vid utkontraktering har vi försökt att konkretisera några av de problem som enligt vår bedömning förklarar varför lämpligheten att utkontraktera säkerhetskänslig verksamhet har fått en så undanskymd roll i offentligt drivna verksamheter. Problembeskrivningen bygger på vad som framkommit i våra möten med experter, myndigheter och enskilda. Vi ser i huvudsak följande problem.
10 Riksrevisionens rapport IT inom statsförvaltningen – har myndigheterna på ett rimligt sätt
prövat frågan om outsourcing bidrar till ökad effektivitet? (RiR 2011:4) s. 14.
182
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
1. Verksamhetsutövare har otillräcklig kunskap om verksamhetens egna skyddsvärden, vilket vi har behandlat i avsnitt 6.4.3. Vi bedömer att bristande kunskap om egna skyddsvärden bidrar till att beslut om utkontraktering fattas på undermåliga underlag.
2. Verksamhetsutövare har otillräcklig kunskap om utkontraktering när det gäller internationella förhållanden. Det handlar enligt vår mening om i huvudsak två problem.
a) För det första saknas det kunskap om leverantörsförhållanden
och regelverken om upphandling. Vi syftar här på att marknaden, inte minst när det gäller it-tjänster, är internationell och att många leverantörer erbjuder tjänster som utförs i olika länder för att vara konkurrenskraftiga. Vi syftar även på att upphandlingslagstiftningen tar sikte på hela den inre marknaden i Europeiska unionen och att diskriminering av leverantörer på grund av nationalitet är förbjudet. Detta problem illustrerades i granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6). En av iakttagelserna vid granskningen var nämligen att Transportstyrelsen hade svårt att besvara anbudsgivarnas frågor om eventuella restriktioner för leveransmodeller och att Transportstyrelsen därmed öppnade upp för leverans med utländska underleverantörer (s. 142). En annan iakttagelse var att det inte från början stod klart för Transportstyrelsen att leveransen faktiskt omfattade utländska leverantörer (s. 101).
b) Det andra problemet handlar om okunskap om hur säkerhets-
skyddet fungerar i ett internationellt sammanhang. Vi tänker då framför allt på att flera viktiga verktyg går förlorade eller får begränsad betydelse när leverantören verkar utanför Sverige; underlaget för personalkontroll blir kraftigt begränsat, möjligheten att utöva kontroll och utnyttja maktbefogenheter faller bort och det blir svårare att bedöma hotbilden mot den säkerhetskänsliga verksamheten som utkontrakterats. Även detta problem illustrerades i Ds 2018:6, där det konstaterades att det dröjde lång tid innan Transportstyrelsen insåg att registerkontroll av utländska medborgare som arbetar i utlandet inte kunde genomföras på ett meningsfullt sätt (s. 228).
183
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
3. I den mån det finns kunskap om verksamhetens skyddsvärden når kunskapen inte alltid fram till rätt funktion inom organisationen. Vår bild är att beslut om utkontraktering ofta fattas på en hög nivå inom organisationen. Ofta saknas det ett naturligt samspel mellan funktionen som äger frågan om utkontraktering och säkerhetsfunktionen. Vi anser att det är av högsta vikt att information om verksamhetens skyddsvärden och överväganden om säkerhetsskyddet alltid ingår i underlaget inför beslut om utkontraktering.
4. Vår bild är att myndigheter inför beslut om utkontraktering ofta ställs inför målkonflikter där andra krav regelmässigt överordnas säkerhetsskyddet. Ett annat sätt att uttrycka det är att effektivisering och kostnadsbesparingar nästan alltid tillmäts betydligt större värde än säkerhetsskyddet. Offentligt drivna verksamheter har generellt en hög kostnadsmedvetenhet men betydligt lägre medvetenhet när det kommer till konsekvenserna av bristande säkerhet. I granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6) beskrivs Transportstyrelsen som en myndighet där man upplevt sig ha stränga besparings- och effektiviseringskrav och där synpunkter som gått på tvärs med dessa ambitioner haft svårt att vinna gehör (s. 231). Vi anser att det är en beskrivning som kan appliceras på fler myndigheter och som väl beskriver de spänningsförhållanden som ofta uppstår inför beslut om utkontraktering.
5. Många verksamhetsutövare upplever att de inte får tillräckligt stöd när det kommer till utkontraktering och andra externa kontakter som rör den säkerhetskänsliga verksamheten.
I våra resonemang ovan har vi framför allt utgått från offentligt drivna verksamheter. Vi ser dock att de problem som har uppmärksammats lika väl kan uppstå i säkerhetskänsliga verksamheter som bedrivs i enskild regi. Det finns därmed behov av förebyggande åtgärder i ovanstående avseenden för såväl enskilda som offentliga verksamhetsutövare. Vi ser även att en bristande prövning av lämpligheten kan ha allvarliga negativa konsekvenser i samband med andra förfaranden än utkontraktering, t.ex. vid vissa upplåtelser och upphandlingar där utomstående på något sätt får tillgång till den säkerhetskänsliga verksamheten.
184
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
6.4.5 Brister i arbetet med säkerhetsskyddsavtal
Under utredningens gång har vi träffat enskilda aktörer som har slutit ett stort antal säkerhetsskyddsavtal med myndigheter. Det har vid dessa möten framkommit att det finns brister både när det gäller processen som leder fram till säkerhetsskyddsavtal och i avtalens innehåll.
När det gäller processen som leder fram till säkerhetsskyddsavtalet har flera enskilda aktörer berättat att det saknas en dialog om vad som är skyddsvärt i uppdragen och att de i vissa fall – för att få sluta ett affärsavtal – måste godkänna säkerhetsskyddsavtal där det inte framgår vad som ska skyddas. Det har vidare framkommit att det ofta förs kontinuerliga dialoger om vad affärsavtalet ska innehålla men att det inte sker någon dialog om säkerhetsskyddsavtalet. Ibland tecknas till och med affärsavtalet före säkerhetsskyddsavtalet. De enskilda aktörerna har betonat vikten av att gemensamt med beställaren hitta ett adekvat skydd.
När det gäller brister i säkerhetsskyddsavtalen så har det under våra samtal med enskilda aktörer framkommit att arbetet med säkerhetsskyddsavtal ofta får slagsida mot administrativt arbete på bekostnad av säkerhetsskyddsavtalens innehåll. Detta problem har uttryckts som att arbetet med säkerhetsskyddsavtal till allra största delen består av dokumenthantering och bara till mindre del handlar om vad som ska uppnås med avtalet. Det kan bland annat visa sig genom att säkerhetsskyddsavtal i stora drag följer framtagna mallar, med följd att de krav som ställs på leverantören blir mycket allmänt hållna. Vi har vidare fått exempel på att det i säkerhetsskyddsavtal förekommit hänvisningar till bilagor om skyddsvärden, men att bilagorna aldrig fyllts med något innehåll.
Om leverantörer inte får delta i processen som leder fram till säkerhetsskyddsavtalet kan det leda till att leverantörens säkerhetsskyddsåtgärder blir otillräckliga eller missriktade på grund av bristande kunskap om de skyddsvärden som förekommer i utkontrakteringen. Det kan i sin tur leda till att den säkerhetskänsliga verksamhet som utkontrakteras skadas. Det innebär också att utkontrakteringar kan stå i strid med säkerhetsskyddslagens grundläggande princip att skyddet för det skyddsvärda bör vara detsamma oavsett i vilken verksamhet det skyddsvärda förekommer. Detsamma gäller om
185
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
säkerhetsskyddsavtalet av någon annan orsak får ett otillräckligt innehåll som inte har anpassats efter behoven i det enskilda fallet.
Uppgiften att säkerhetsskyddsavtal ibland tecknas efter att affärsavtal har ingåtts är oroande eftersom det kan innebära att det inte finns ett tillfredsställande skydd när leverantören får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. I enstaka fall kan det visserligen vara så att behovet av ett säkerhetsskyddsavtal uppkommer först efter att affärsavtalet slutits. Men under alla förhållanden måste säkerhetsskyddsavtalet senast ha ingåtts innan den utomstående parten har fått del av de säkerhetsskyddsklassificerade uppgifterna eller tillgång till den säkerhetskänsliga verksamheten i övrigt.
De problem som har utvecklats i det föregående har inte bara betydelse vid utkontraktering utan i alla situationer där det föreligger en skyldighet att ingå säkerhetsskyddsavtal. Som har framgått av våra överväganden i kapitel 5 anser vi att denna skyldighet bör utvidgas så att den inte bara träffar upphandling utan också andra förfaranden där säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet exponeras för någon utomstående part.
6.4.6 Bristande eller utebliven uppföljning
Avtalsslutande myndigheter är enligt 41 § gamla säkerhetsskyddsförordningen skyldiga att kontrollera säkerhetsskyddet hos anbudsgivare och leverantörer som man träffat säkerhetsskyddsavtal med. Den generella bild som tillsynsmyndigheter och utredningens experter har förmedlat till oss är att många verksamhetsutövare trots detta inte följer upp om leverantören tillgodoser kraven på säkerhetsskydd efter en utkontraktering. Vi har fått exempel på myndigheter som i praktiken har avhänt sig möjligheten att kontrollera den funktion som har utkontrakterats och som har haft uppfattningen att leverantören har tagit över ansvaret för säkerhetsskyddet. I sammanträden med enskilda verksamhetsutövare har det beskrivits för oss hur myndighetens säkerhetsskyddsarbete har avstannat så snart ett affärsavtal har ingåtts. Andra enskilda har upplevt att det har funnits ett stort fokus på pappersarbete i början av upphandlingsprocessen men att det inte har skett någon reell uppföljning av om leverantören har uppfyllt sina åtaganden enligt de avtal som tecknats.
186
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
Bristande eller utebliven uppföljning kan i värsta fall få mycket allvarliga konsekvenser för Sveriges säkerhet eftersom det utan en sådan kontroll inte är möjligt att slå fast om leverantören verkligen lever upp till sina skyldigheter när det gäller att skydda den säkerhetskänsliga verksamheten.
För att de förebyggande åtgärder som vi ska föreslå ska vara så verkningsfulla som möjligt behöver vi i möjligaste mån identifiera vilka konkreta problem som kan tänkas förklara varför så många myndigheter brister i sin uppföljning av utkontrakteringar. Ett centralt problem är enligt vår bedömning att många myndigheter verkar ha utgått från att ansvaret för att upprätthålla ett väl anpassat säkerhetsskydd övergår från myndigheten till den leverantör som åtar sig utkontrakteringen. Att en del av den egna verksamheten bedrivs av någon annan ses felaktigt som synonymt med att ansvaret för denna verksamhetsdel övergår. Ett annat problem som vi tror kan förklara bristande uppföljning är att beställare uppfattar att säkerhetsskyddsarbetet i princip är avklarat när ett säkerhetsskyddsavtal har slutits och att beställare därför inte avsätter tid för att kontrollera att leverantören uppfyller sina åtaganden. En sådan uppfattning får också till följd att beställaren kan komma att bortse från vilka åtgärder som måste vidtas när leverantörens uppdrag är avklarat, till exempel att återlämna hemliga handlingar eller att försäkra sig om att behörigheter till it-system tas bort.
En konsekvens av den bristande uppföljningen är att verksamhetsutövaren kan komma att sakna kunskap om hur det skyddsvärda som ingår i utkontrakteringen hanteras och sprids. Det kan bli så att verksamhetsutövaren inte längre kan spåra en eventuell spridning av säkerhetsskyddsklassificerade uppgifter. Vi har i avsnitt 6.4.3 uppmärksammat att det också kan skapas skyddsvärden hos leverantören.
Ovanstående beskrivning av bristande eller utebliven uppföljning utgår från att en utkontraktering har skett genom en upphandlingsprocess och att det har ingåtts ett säkerhetsskyddsavtal. Det kan dock även finnas situationer där det enligt gällande reglering inte finns någon skyldighet att ingå säkerhetsskyddsavtal, men där det ändå är viktigt med uppföljning. Ett exempel kan vara verksamhetsutövare som upplåter en lokal till en utomstående aktör, som därigenom får tillgång till den säkerhetskänsliga verksamheten. Vi
187
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
har i avsnitt 5.4 föreslagit att skyldigheten att ingå säkerhetsskyddsavtal utvidgas till att bl.a. sådana situationer.
6.4.7 Svårigheter att pröva leverantörens lämplighet
Vid utkontraktering av säkerhetskänslig verksamhet är det viktigt att leverantören är lämplig från säkerhetsskyddssynpunkt. Detsamma gäller vid alla upphandlingar och andra förfaranden som innebär att någon utomstående får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt till den säkerhetskänsliga verksamheten. Betydelsen av att lämpligheten kan granskas illustreras bl.a. i Säkerhetspolisens årsbok för 2017, där det framgår att det förekommer att andra stater försöker påverka Sveriges politiska beslutsfattande genom att försöka vinna upphandlingar hos svenska myndigheter.
11
För-
svarsmakten har bl.a. beskrivit att främmande makt i vissa fall använder företag som en till synes legitim fasad för underrättelseverksamhet.
12
Möjligheterna att inför utkontrakteringar och andra
förfaranden granska leverantörens lämplighet har alltså stor betydelse för säkerhetsskyddet.
En faktor som påverkar möjligheten att granska leverantörers lämplighet är hur företag väljer att organisera sin verksamhet. I dag är det inte ovanligt att tjänsteleverantörer är en del av internationella koncerner. Det kan medföra att den tjänst som upphandlas i Sverige helt eller delvis kan utföras i ett annat land. Det är också vanligt att leverantörer i sin tur anlitar underleverantörer som bedriver sin verksamhet på annan ort. Även om det i och för sig anses föreligga en skyldighet för verksamhetsutövaren att ingå säkerhetsskyddsavtal med eventuella underleverantörer kan ovanstående leda till att det blir svårare att ta reda på vilka personer och intressen som äger eller på annat sätt kontrollerar leverantörer. Motsvarande begränsningar aktualiseras även när det handlar om att bedöma lämpligheten av att upplåta hela eller delar av den säkerhetskänsliga verksamheten till en enskild aktör, t.ex. upplåtelse av lokaler eller immateriella rättigheter. Begränsningarna gör sig också gällande i andra situationer där en verksamhetsutövare avser att ge någon utomstående aktör tillgång till verksamheten eller säkerhetsskyddsklassificerade uppgifter.
11 Säkerhetspolisens årsbok 2017 s. 50. 12 Försvarsmaktens skrivelse den 25 augusti 2017 med diarienummer FM2017-15532:2.
188
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
Ovanstående leder oss till bedömningen att behovet av att kunna kontrollera leverantörers lämplighet har ökat. Samtidigt är säkerhetsskyddsregleringen enligt vår mening inte alldeles klar när det gäller vilken skyldighet verksamhetsutövare har att göra en lämplighetsprövning.
6.4.8 Begränsade möjligheter att ingripa
I 16 a § gamla säkerhetsskyddsförordningen respektive 2 kap. 6 § nya säkerhetsskyddsförordningen finns det ett krav på samråd och en möjlighet för Säkerhetspolisen och Försvarsmakten att vägra en planerad utkontraktering eller annan upphandling i vissa fall (se avsnitt 6.3.2). Möjligheten gäller dock bara vid vissa upphandlingar som görs av statliga myndigheter och innebär ingen möjlighet till ingripande mot enskilda verksamhetsutövare.
Säkerhetsskyddsregleringen ger inte heller några verktyg för att ingripa i en pågående utkontraktering när säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet är sårbara eller utsatta för hot.
Möjligheten att ingripa i ett ansträngt läge berördes i granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6). I rapporten angavs att Säkerhetspolisen informerades om Transportstyrelsens beslut att göra avsteg från gällande lagstiftning ungefär samtidigt som personal hos leverantören började få behörighet med priviligierad åtkomst till Transportstyrelsens it-system (s. 152, 167, 168 och 183). Säkerhetspolisen inledde tillsyn hos Transportstyrelsen och skickade senare en rekommendation om att omedelbart vidta säkerhetsskyddshöjande åtgärder och att säkerställa att hemliga uppgifter inte kom obehöriga till handa (s. 187). Några andra möjligheter än att i skarpa ordalag rekommendera Transportstyrelsen att vidta åtgärder hade Säkerhetspolisen inte (s. 189). Transportstyrelsen ansåg det dock inte som realistiskt att avbryta utkontrakteringen (s. 188). Utredningens underlag tydde på att Transportstyrelsen inte kom igång med konkreta och systematiska åtgärder förrän ungefär ett och ett halvt år efter att Säkerhetspolisen informerades om Transportstyrelsens beslut om avsteg (s. 193).
189
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Bristen på möjligheter att ingripa i efterhand innebär i praktiken att det i många fall står verksamhetsutövaren fritt att välja om tillsynsmyndigheternas rekommendationer ska följas eller inte. Införandet av kravet på samråd och möjligheten för Säkerhetspolisen och Försvarsmakten att vägra upphandling i vissa fall genom 16 a § gamla säkerhetsskyddsförordningen respektive 2 kap. 6 § nya säkerhetsskyddsförordningen tillgodoser endast delar av problemet. Till att börja med gäller bestämmelserna bara för statliga myndigheters upphandlingar. Vidare kan även en utkontraktering som har genomgått kontroll vid ett senare tillfälle visa sig olämplig från säkerhetsskyddssynpunkt. Det kan ske t.ex. när säkerhetskänsliga verksamheter ändrar karaktär, när hotbilder förändras eller när den tekniska utvecklingen ändrar förutsättningarna. Även förändrade ägarförhållanden på leverantörssidan kan innebära att utkontrakteringen inte längre är lämplig. Om det i en sådan situation finns olika uppfattningar om allvaret i situationen eller vilka åtgärder som behöver vidtas så är det fortfarande upp till verksamhetsutövaren att avgöra om tillsynsmyndighetens rekommendationer ska följas, oavsett hur allvarlig den potentiella skadan för Sveriges säkerhet är.
De problem som beskrivits i detta avsnitt är inte begränsade till utkontraktering, utan kan även aktualiseras vid t.ex. andra upphandlingar, upplåtelser av någon del av säkerhetskänslig verksamhet eller andra förfaranden där någon utomstående får tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt till den säkerhetskänsliga verksamheten.
6.5 Inledning till våra överväganden om förebyggande åtgärder
Vi har i avsnitt 6.4 redovisat de problem som framkommit när det gäller utkontraktering av säkerhetskänslig verksamhet. Där har vi bl.a. konstaterat att teknikutvecklingen i sig har medfört en ökad sårbarhet. Därutöver har vi identifierat sju huvudsakliga brister och problem. Dessa är följande.
1. Det finns verksamhetsutövare som inte tillämpar säkerhetsskyddslagen (problem 1).
190
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
2. Många verksamhetsutövare har bristande kunskap om egna skyddsvärden, inbegripet verksamhetens roll för Sveriges säkerhet och beroenden mellan verksamheten och andra verksamheter med betydelse för Sveriges säkerhet (problem 2).
3. Utkontraktering sker i vissa fall utan en tillräcklig bedömning av om det är lämpligt (problem 3).
4. Det förekommer att säkerhetsskyddsavtalen är bristfälliga (pro-
blem 4).
5. Det förekommer att uppföljningen av utkontraktering brister eller uteblir helt (problem 5).
6. Möjligheterna att pröva leverantörens lämplighet är begränsade (problem 6).
7. De rättsliga möjligheterna att ingripa är otillräckliga när en planerad utkontraktering är olämplig från säkerhetsskyddssynpunkt eller en påbörjad eller pågående utkontraktering eller upplåtelse blir olämplig på grund av ändrade förhållanden (problem 7).
Vår bedömning är att samtliga dessa brister och problem är sådana att det finns ett behov av förebyggande åtgärder. Vi konstaterar vidare att bristerna kan aktualiseras även i andra sammanhang än vid utkontraktering, t.ex. i samband med vissa upplåtelser och andra förfaranden där utomstående aktörer involveras i den säkerhetskänsliga verksamheten.
6.5.1 Inriktning på våra överväganden
Bedömning: De förebyggande åtgärder som införs bör inte vara
knutna till den rättsliga rubriken på ett visst förfarande, t.ex. utkontraktering, utan bör i stället knytas till om förfarandet innebär att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet exponeras för någon utomstående. Vissa åtgärder för att generellt stärka säkerhetsskyddet i centrala avseenden bör övervägas.
191
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Förhållandet till våra förslag om säkerhetsskyddsavtal
Vi har bl.a. fått i uppgift att utreda vilka ytterligare åtgärder som skulle kunna vidtas för att komma till rätta med de negativa konsekvenser för Sveriges säkerhet som utkontraktering och upplåtelse av säkerhetskänslig verksamhet kan innebära. Genom tilläggsdirektiv har vi också fått i uppgift att analysera och föreslå i vilken utsträckning verksamhetsutövare ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser med utomstående som berör den säkerhetskänsliga verksamheten. Vi har redovisat våra överväganden om säkerhetsskyddsavtal i kapitel 5 och där föreslagit en bred ansats, där skyldigheten att ingå säkerhetsskyddsavtal omfattar betydligt fler fall än i dag. Som vi har angett i avsnitt 6.1 anser vi att dessa två delar av uppdraget måste ses som en helhet, mot bakgrund av det övergripande syftet med vårt utredningsuppdrag som är att stärka förmågan att effektivt och samordnat förebygga och möta omedelbara hot mot och utmaningar för Sveriges säkerhet.
Utgångspunkten för våra förslag om en utvidgad skyldighet att ingå säkerhetsskyddsavtal är att det bör krävas ett säkerhetsskyddsavtal när den som bedriver säkerhetskänslig verksamhet inleder ett förfarande som innebär att någon utomstående kan få tillgång till uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i övrigt till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Med ett samlat uttryck har vi beskrivit detta som att uppgifterna eller verksamheten exponeras för någon utomstående. Vi har med hänsyn till den utgångspunkten föreslagit att man i reglerna slopar kopplingen till upphandling och andra anskaffningar, och i stället fokuserar på om uppgifter eller verksamhet i övrigt exponeras. Det blir då de möjliga negativa konsekvenserna av ett visst förfarande som står i centrum, och inte den rättsliga rubriken på förfarandet. Ett motiv till förslaget är att det finns situationer där det kan finnas ett lika stort behov av säkerhetsskyddsåtgärder hos motparten som vid en anskaffning. Ett annat motiv är att behovet av säkerhetsskydd inte behöver vara kopplat till att verksamhetsutövaren är just beställare.
Om våra förslag i kapitel 5 genomförs, kommer kravet på säkerhetsskyddsavtal att träffa betydligt fler fall, och i princip omfatta alla slags avtal och samarbeten och all slags samverkan, förutsatt att förfarandet innebär en exponering för någon utomstående part av
192
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i övrigt säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Därigenom kommer bl.a. upplåtelser att omfattas, om förutsättningarna i övrigt är uppfyllda. Kravet på säkerhetsskyddsavtal kommer också att gälla vid olika former av samverkan, t.ex. mellan myndigheter och enskilda. Det föreslås däremot inte gälla vid samverkan och samarbete mellan två eller flera statliga myndigheter som rör något annat än en viss anskaffning.
Våra överväganden i detta kapitel måste ses mot bakgrund av förslagen i kapitel 5. De förebyggande åtgärder som föreslås i det här kapitlet är med andra ord tänkta att komplettera reglerna om säkerhetsskyddsavtal med andra typer av förebyggande åtgärder.
Våra överväganden om förebyggande åtgärder begränsas inte till utkontraktering och upplåtelse
Vår kartläggning visar att de problem som aktualiseras vid utkontraktering också aktualiseras vid andra slags förfaranden, t.ex. vissa upplåtelser och upphandlingar. Som vi har angett tidigare, bör man enligt vår mening betrakta vårt uppdrag som en helhet, där uppgiften att överväga ändringar i fråga om skyldigheten att ingå säkerhetsskyddsavtal ingår. Vi anser därför att det finns starka skäl för att man – så som vi gjort i fråga om säkerhetsskyddsavtal – väljer en bred ansats och i regleringen utgår från om ett visst förfarande medför en exponering av säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt. Ett sådant angreppssätt skulle innebära att de förebyggande åtgärderna inte begränsas till utkontraktering och upplåtelse. Det finns också andra tungt vägande skäl för detta.
Ett skäl som talar för en bred ansats är att det kan finnas andra situationer än just utkontraktering och upplåtelse som medför motsvarande konsekvenser ur säkerhetsskyddsperspektiv. Det är svårt att förutse precis vilka situationer det kan handla om, men man kan t.ex. tänka sig forskningssamarbeten och vissa anskaffningar som kan vara väl så känsliga som en utkontraktering. Behovet av att verksamhetsutövaren, utifrån en gedigen kunskap om de egna skyddsvärdena, bl.a. överväger om förfarandet är lämpligt och vidtar lämpliga åtgärder för att skydda dessa värden, kan vara lika stort som vid en utkontraktering eller upplåtelse. Som vi ser det kan det innebära en aktualisering av de flesta av de problem som vi har identifierat
193
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
beträffande utkontraktering och upplåtelse av säkerhetskänslig verksamhet. Detta talar för en reglering som inte enbart träffar utkontraktering och upplåtelse, utan i stället utgår ifrån om säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet kan exponeras för någon utomstående. Just detta moment, dvs. att verksamhetsutövaren kopplar in en utomstående aktör som kan få tillgång till känsliga uppgifter eller till själva verksamheten, är kännetecknande för både utkontraktering och upplåtelse, varför dessa förfaranden skulle omfattas av regleringen med en sådan bredare ansats. Samtidigt skulle också andra förfaranden, som medför en motsvarande exponering, kunna omfattas. Med en sådan mer generell skrivning blir regleringen mer lättillämpad och får bättre förutsättningar att stå sig över tid. Bland annat kan den lättare omfatta nya verksamheter och skydda mot hot av olika karaktär (jfr prop. 2017/18:89 s. 35).
Som vi anfört ovan skulle vidare en bred ansats vara bäst förenlig med våra principiella ställningstaganden och förslag i kapitel 5. En bred ansats skulle också vara bäst förenlig med bestämmelserna om samrådsskyldighet, föreläggande och förbud i 2 kap. 6 § nya säkerhetsskyddsförordningen. Bestämmelserna gäller nämligen generellt för statliga myndigheters upphandlingar i den mån dessa omfattas av krav på säkerhetsskyddsavtal enligt 2 kap. 6 § nya säkerhetsskyddslagen, och vissa ytterligare förutsättningar är uppfyllda. Om våra förslag skulle begränsas till utkontrakteringar och upplåtelser så skulle det innebära att de förebyggande åtgärderna skulle omfatta färre situationer än vad som gäller enligt de nyss nämnda bestämmelserna. Detta skulle innebära en försvagning av skyddet, inte en förstärkning. Det kan knappast vara i linje med vårt uppdrag.
Ett ytterligare skäl som talar för en bredare ansats är att det är svårt att uttömmande definiera i synnerhet begreppet utkontraktering. Begreppet används visserligen redan i viss svensk lagstiftning, men saknar en legaldefinition (jfr 3 kap. 24 § lagen [2017:630] om åtgärder mot penningtvätt och finansiering av terrorism samt förordningen [2001:911] om avgifter för prövning av ärenden hos Finansinspektionen). Vi befarar att gränsdragningsfrågor skulle kunna uppstå när det gäller förhållandet mellan utkontraktering och att anlita uppdragstagare eller att köpa en tjänst som i framtiden skulle kunna
194
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
komma att utföras av verksamhetsutövaren själv.
13
Det kan också
tänkas att i grunden liknande förfaranden paketeras på olika sätt, vilket kan medföra att de rättsliga bedömningarna av vad det är för typ av förfarande kan variera. En oklar definition av vilka förfaranden som träffas av en viss reglering kan leda till osäkerhet om dels vilka skyldigheter som åligger verksamhetsutövare i fråga om förebyggande åtgärder, dels vilka befogenheter som tillsynsmyndigheterna har i olika situationer. En sådan osäkerhet om skyldigheter och befogenheter kan i sin tur leda till att kraven på förebyggande åtgärder inte får tillräckligt genomslag i praktiken. Det kan medföra att den önskade förbättringen av säkerhetsskyddet inte uppnås. Slutligen finns det en risk för att verksamhetsutövarna lägger onödigt mycket energi på att utreda om det förfarande man planerar verkligen är en utkontraktering, samtidigt som man lägger mindre energi på att överväga vilka eventuella konsekvenser och sårbarheter som förfarandet kan medföra ur säkerhetsskyddsperspektiv. En sådan risk finns särskilt eftersom olika förebyggande åtgärder, och säkerhetsskyddsåtgärder, kan vara kostsamma och medföra administrativa påfrestningar för verksamhetsutövarna. Ett sådant skifte av fokus skulle inte vara till fördel ur ett säkerhetsskyddsperspektiv.
Det anförda talar starkt för en sådan bred ansats som vi beskrivit inledningsvis i avsnittet. Vi kan inte se några egentliga nackdelar med en sådan lösning, förutsatt att åtgärderna får en i övrigt lämplig utformning och avgränsning. Med hänsyn till detta har vi valt att överväga förebyggande åtgärder som omfattar, men inte begränsas till, utkontraktering och upplåtelse av säkerhetskänslig verksamhet. Vår utgångspunkt i det följande är därmed att det är utomståendes tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt till säkerhetskänslig verksamhet eller som är styrande för när de förebyggande åtgärderna ska gälla. Det är en annan sak att det också kan behöva ställas ytterligare villkor för att olika åtgärder ska bli aktuella, och att villkoren kan behöva vara strängare ju mer ingripande åtgärder det är fråga om.
13 Jfr med definitionen av utkontraktering i Vägledning – informationssäkerhet i upphandling (2013), Myndigheten för samhällsskydd och beredskap s. 40.
195
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Vi överväger vissa åtgärder som går ut på att stärka säkerhetsskyddet generellt
Flera av de problem som vi har identifierat i avsnitt 6.4 kan kopplas till att kunskapen och medvetenheten om säkerhetsskyddsregleringen är för dålig hos vissa verksamhetsutövare och att säkerhetsskyddsarbetet inte har en tillräckligt framskjuten roll inom verksamheten. Med hänsyn till det har vi sett det som nödvändigt att överväga vissa åtgärder som syftar till att mer generellt förstärka säkerhetsskyddet. Vi utvecklar detta närmare i nästa avsnitt.
6.5.2 Disposition av våra överväganden
I problembeskrivningen har vi lyft fram vissa allmänna brister i säkerhetsskyddsarbetet som kan medföra negativa konsekvenser vid bl.a. utkontraktering, upplåtelse och säkerhetsskyddade upphandlingar i allmänhet. Ett sådant generellt problem är att det finns verksamheter av stor betydelse för Sveriges säkerhet som inte alls tillämpar säkerhetsskyddslagens bestämmelser (problem 1). Det finns därför skäl att överväga åtgärder för att stärka medvetenheten om säkerhetsskydd generellt. En sådan tänkbar åtgärd är införande av en anmälningsplikt för verksamhetsutövare som bedriver säkerhetskänslig verksamhet. En sådan anmälningsplikt skulle inte bara ha betydelse för verksamhetsutövarnas säkerhetsskyddsarbete, utan också för tillsynsmyndigheternas möjligheter att få kunskap om vilka tillsynsobjekt de ansvarar för. Med hänsyn till frågans starka koppling till frågor om tillsyn har vi valt att behandla den i kapitel 8 och närmare bestämt i avsnitt 8.14. Vi lämnar där förslag som går ut på att den som bedriver säkerhetskänslig verksamhet utan dröjsmål ska anmäla detta till tillsynsmyndigheten, och även anmäla när den säkerhetskänsliga verksamheten upphör. Våra överväganden i detta kapitel bör ses mot bakgrund av detta förslag.
Ett annat generellt problem som accentueras och som kan leda till särskilda negativa konsekvenser i samband med bl.a. utkontraktering är att säkerhetsfunktionen ofta har en undanskymd roll i organisationen och inte ges ett tillräckligt inflytande inför beslut om exempelvis utkontraktering. Med hänsyn till detta finns det enligt
196
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
vår mening anledning att överväga om man bör stärka säkerhetsskyddschefens roll i säkerhetskänsliga verksamheter. Vi börjar därför våra egentliga överväganden med denna fråga (avsnitt 6.6).
I avsnitt 6.7–6.9 överväger vi vissa specifika ”kontrollstationer” inför och under vissa förfaranden. I avsnitt 6.10 överväger vi frågor om överklagande. I avsnitt 6.11 överväger vi vissa frågor som har att göra med uppföljning under avtalstiden, i 6.12 frågor om tvångsåtgärder och i avsnitt 6.13 frågor om förslagens förhållande till bl.a. egendomsskyddet. Kapitlet avslutas med ett kort avsnitt om behovet av bemyndiganden.
6.6 Säkerhetsskyddschefens roll i organisationen bör stärkas
Förslag: Bestämmelser om säkerhetsskyddschef, som hittills funnits
i förordning, förs in i säkerhetsskyddslagen. Bestämmelserna innebär att det liksom tidigare ska finnas en säkerhetsskyddschef vid en säkerhetskänslig verksamhet, om det inte är uppenbart obehövligt. Säkerhetsskyddschefens uppdrag förtydligas genom att det anges att han eller hon ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs i enlighet med vad som föreskrivs i säkerhetsskyddslagen och de föreskrifter som meddelats med stöd av lagen. Det föreskrivs att detta ansvar inte får delegeras. Det hittillsvarande kravet på att säkerhetsskyddschefen ska vara direkt underställd myndighetens chef görs tillämpligt på alla verksamhetsutövare genom att det anges att säkerhetsskyddschefen ska vara direkt underställd den person som är ansvarig för verksamhetsutövarens verksamhet.
Det yttersta ansvaret för säkerhetsskyddet åvilar den som är chef för verksamhetsutövaren, t.ex. en myndighetschef eller verkställande direktör. De förslag som vi lämnar i detta avsnitt utgår från att den som är chef för verksamhetsutövaren även i fortsättningen kommer att ha det yttersta ansvaret för säkerhetsskyddet.
I 2 kap. 2 § nya säkerhetsskyddsförordningen finns det bestämmelser som innebär en skyldighet för en verksamhet som förordningen gäller för att ha en säkerhetsskyddschef, om det inte är uppenbart obehövligt. Det anges vidare att säkerhetsskyddschefens
197
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
uppgift är att kontrollera att verksamheten bedrivs i enlighet med vad som föreskrivs i nya säkerhetsskyddslagen och förordningen. Vid myndigheter ska säkerhetsskyddschefen vara direkt underställd myndighetens chef.
Regler om säkerhetsskyddschef bör finnas i lag
Vi har i problembeskrivningen konstaterat att det förekommer brister i kommunikationen mellan verksamhetsutövares säkerhetsfunktion och den funktion, ofta i ledningen, som beslutar om t.ex. utkontraktering. Detta kan leda till och bidra till brister i flera avseenden bl.a. i samband med utkontraktering och andra förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten.
Säkerhetsskyddschefens roll i verksamheten uppmärksammades vid granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6). I promemorian angavs att säkerhetsskyddschefen uppfattade att det var svårt att få genomslag för säkerhetsskyddsfrågor både på ledningsnivå och i verksamheten samt att säkerhetsfrågorna kom in alldeles för sent i upphandlingarna av it-drift och stordatormigrering (s. 98). Utredaren beskriver Transportstyrelsens säkerhetskultur på så sätt att säkerhetsskyddet har uppfattats som något som primärt har varit säkerhetsskyddschefens ansvar och inte en del av verksamhetens ansvar (s. 86).
Det anförda visar på vikten av att säkerhetsskyddschefen organisatoriskt finns nära verksamhetens chef. En sådan ordning skapar förutsättningar för att säkerhetsskyddsfrågorna i allmänhet får en högre prioritet i organisationen än i dag, vilket framstår som nödvändigt mot bakgrund av de brister som framkommit. Som beskrivits ovan gäller det för myndigheter redan ett krav på att säkerhetsskyddschefen är direkt underställd myndighetschefen. Vi anser dock att skälen för en sådan regel även gör sig gällande i fråga om andra verksamhetsutövare på säkerhetsskyddslagens område. Motsvarande skyldighet bör därför gälla även för enskilda verksamhetsutövare, liksom för kommuner och landsting. Eftersom det får anses handla om en bestämmelse som innebär åligganden för kommuner och enskilda bör den finnas i lag; lämpligen i en ny paragraf i 2 kap. i nya säkerhetsskyddslagen.
198
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
Vi anser det inte lämpligt att i lagtexten närmare ange vem som i olika slags organisationer är verksamhetens chef. Det bör dock handla om den högsta chefen hos den verksamhetsutövare som bedriver den säkerhetsskyddskänsliga verksamheten. Vem detta är beror på hur verksamheten har organiserats. I ett aktiebolag är den högsta chefen normalt verkställande direktören, men det finns också aktiebolag utan verkställande direktör, 8 kap. 27 § aktiebolagslagen (2005:551). I en kommun ska det utses en högsta tjänsteman, en direktör, som leder förvaltningen i enlighet med en instruktion som kommunstyrelsen fastställer, 7 kap.1 och 2 §§kommunallagen (2017:725). Normalt torde denne vara att anses som verksamhetsutövarens chef när det gäller säkerhetsskyddsfrågor.
I likhet med bestämmelsen i säkerhetsskyddsförordningen bör det av den nya paragrafen framgå att verksamhetsutövare enligt säkerhetsskyddslagen ska ha en säkerhetsskyddschef om det inte är uppen-
bart obehövligt. Så kan exempelvis vara fallet om den säkerhets-
känsliga verksamheten har mycket liten omfattning. Det kan också ha betydelse vilka säkerhetsskyddsklassificerade uppgifter det gäller eller hur säkerhetskänslig verksamhet det i övrigt är fråga om.
Säkerhetsskyddschefens roll bör utvecklas och förtydligas
En fråga som uppkommit under vårt arbete är om det även finns skäl för att överväga ändringar av säkerhetsskyddschefens roll. Som ovan nämnts följer det av nya säkerhetsskyddsförordningen att säkerhetsskyddschefens uppgift är att kontrollera att verksamheten bedrivs i enlighet med vad som föreskrivs i nya säkerhetsskyddslagen och förordningen. Denna skyldighet bör säkerhetsskyddschefen ha även i framtiden.
Enligt vår mening är det dock viktigt att säkerhetsskyddschefen, utöver sin kontrollerande roll, även har en aktiv roll och är drivande i arbetet med att ta fram och bibehålla ett väl anpassat säkerhetsskydd. Detta bör klart framgå av bestämmelsens ordalydelse. Vi föreslår därför att det i paragrafen anges att säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet inom verksamheten. Förslaget innebär ingen förändring vad gäller det yttersta ansvaret för säkerhetsskyddet, som alltjämt bör ligga hos den som är chef för verksamhetsutövaren.
199
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Säkerhetsskyddschefen bör rapportera till organisationens högsta chef och bör normalt ingå i en eventuell ledningsgrupp. Med en sådan ordning skapas det enligt vår mening förutsättningar för att säkerhetsskyddet uppmärksammas och beaktas i den dagliga styrningen av verksamheten. Säkerhetsskyddschefen, och det eventuella säkerhetsskyddsteam som rapporterar till honom eller henne, bör därmed i god tid involveras i alla frågor som aktualiserar säkerhetsskydd. Det kan då handla om allt från säkerhetsskyddsavtal till driftsättning av nya informationssystem (se t.ex. reglerna i 3 kap. nya säkerhetsskyddsförordningen).
En särskild fråga är om säkerhetsskyddschefens ansvar bör kunna delegeras till någon annan person i organisationen än säkerhetsskyddschefen. Vår uppfattning är att detta inte bör vara tillåtet. Skälet till vår bedömning är att det alltid bör finnas en person som har ansvaret för att kontrollera att säkerhetsskyddsskyddsregleringen följs och som har en helhetsbild av verksamhetens skyddsvärden och säkerhetsskydd. Om ansvaret får delegeras uppnår man inte de viktiga fördelar som finns med att denna person, dvs. säkerhetsskyddschefen, är direkt underställd verksamhetsutövarens chef. Vi föreslår därför att paragrafen ska innehålla en bestämmelse som går ut på att säkerhetsskyddschefens ansvar inte får delegeras. En annan sak är att det naturligtvis måste vara möjligt att delegera olika arbetsuppgifter på säkerhetsskyddsområdet till andra än säkerhetsskyddschefen.
6.7 En första kontrollstation – särskild säkerhetsbedömning och egen lämplighetsprövning
Förslag: Det införs i säkerhetsskyddslagen bestämmelser om
vissa åligganden för den som bedriver säkerhetskänslig verksamhet och som avser att inleda ett förfarande som kräver säkerhetsskyddsavtal. Bestämmelserna motsvarar delvis 2 kap. 6 § nya säkerhetsskyddsförordningen. Innan förfarandet inleds ska verksamhetsutövaren genom en särskild säkerhetsbedömning identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den utomstående parten kan få tillgång till och som kräver säkerhetsskydd. Med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter
200
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
ska verksamhetsutövaren pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt (lämplighetsprövning). Den särskilda säkerhetsbedömningen och lämplighetsprövningen ska dokumenteras. Kravet på särskild säkerhetsbedömning enligt den nya bestämmelsen har ett bredare tillämpningsområde än bestämmelsen i nya säkerhetsskyddsförordningen. Det uttryckliga kravet på lämplighetsprövning är nytt.
Det införs ett uttryckligt krav på att det planerade förfarandet inte får inledas om lämplighetsprövningen leder till bedömningen att det är olämpligt från säkerhetsskyddssynpunkt.
Vi övergår nu till att diskutera förebyggande åtgärder som mer specifikt tar sikte på utkontraktering och upplåtelse av säkerhetskänslig verksamhet och andra förfaranden som medför att säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet exponeras för någon utomstående aktör. I det här avsnittet överväger vi vilka skyldigheter som bör åligga den verksamhetsutövare som överväger att utkontraktera en viss del av sin säkerhetskänsliga verksamhet, eller på något annat sätt involvera någon utomstående aktör på ett sådant sätt att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet exponeras.
6.7.1 Lämpligheten måste prövas
En grundpelare i säkerhetsskyddslagstiftningen är att det är verksamhetsutövaren som bär ansvaret för säkerhetsskyddet. I det måste det enligt vår mening ligga ett krav på att verksamhetsutövare noga analyserar och bedömer om en viss utkontraktering eller annat förfarande som innebär att säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt exponeras för utomstående är lämpligt från säkerhetsskyddssynpunkt.
Utkontraktering är ett typexempel på en situation som ofta innebär en sådan exponering som nyss sagts och som därför aktualiserar ett behov av lämplighetsprövning. Det är av yttersta vikt att fördelarna med ett visst förfarande ställs mot de sårbarheter och skador för Sveriges säkerhet som förfarandet kan innebära. I vissa fall kan dessa hanteras genom ett väl formulerat säkerhetsskyddsavtal, där det klargörs vad motparten måste göra för att leva upp till kraven på
201
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
säkerhetsskydd. I andra fall kan man inte genom ens ett optimalt utformat säkerhetsskyddsavtal motverka de säkerhetsskyddsproblem som uppstår genom en utkontraktering. Det kan t.ex. handla om utkontraktering av kritisk verksamhet till ett land som inte har ingått en överenskommelse med Sverige om säkerhetsskydd och där det inte är meningsfullt att göra en säkerhetsprövning av personal som ska få del av säkerhetsskyddsklassificerade uppgifter.
Av det sagda följer att en av de första frågor som en verksamhetsutövare måste ställa sig när man överväger en utkontraktering är om det över huvud taget är lämpligt att utkontraktera den aktuella delen av verksamheten. Som vi har konstaterat tidigare kan det finnas verksamheter som av säkerhetsskyddskäl aldrig bör utkontrakteras.
Det som har anförts om utkontraktering gör sig till stor del gällande även i fråga om andra förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten, t.ex. andra slags upphandlingar, upplåtelser och samarbeten av olika slag. Den verksamhetsutövare som planerar ett sådant förfarande måste alltså i ett tidigt skede ställa sig frågan om förfarandet är lämpligt från säkerhetsskyddssynpunkt.
Upphandlingslagstiftningen måste beaktas från början
När det är fråga om ett planerat förfarande för vilken regleringen om offentlig upphandling kan vara tillämplig, måste den myndighet som planerar förfarandet beakta upphandlingslagstiftningen redan från början. Upphandlingslagstiftningen måste alltså beaktas inom ramen för den lämplighetsprövning som ska göras. Upphandlingslagstiftningen är i de flesta fall tillämplig när det gäller myndigheters anskaffning av varor, tjänster och byggentreprenader. Detta innebär bl.a. att någon av upphandlingslagarna normalt ska tillämpas vid en utkontraktering av säkerhetskänslig verksamhet och många andra anskaffningar. Vid bedömningen av om en tänkt upphandling är lämplig är det viktigt att verksamhetsutövaren redan från början tar ställning till vad upphandlingslagstiftningen kan innebära i fråga om möjligheten för verksamhetsutövaren att styra över vem man ska sluta avtal med och i övrigt ställa upp de krav som behövs för att upprätthålla säkerhetsskyddet. Verksamhetsutövaren måste då börja med att ta ställning till om upphandlingslagstiftningen är tillämplig
202
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
och i så fall vilken av upphandlingslagarna som kan komma att tillämpas. En del i denna bedömning är ett ställningstagande till om den aktuella upphandlingen träffas av något undantag som innebär att upphandlingsreglerna eller vissa av dem inte gäller. Vi har översiktligt redogjort för regelverket och undantagsbestämmelserna i avsnitt 6.3.3.
För att man ska kunna bedöma vilka bestämmelser som gäller för den aktuella upphandlingen, och om upphandlingen är lämplig, är det nödvändigt att redan när en upphandling planeras noggrant beskriva vad upphandlingen avser – t.ex. vilken verksamhet som ska utkontrakteras – och vilka krav som måste ställas på leverantören samt i vilket skede kraven ska ställas. Det kan exempelvis vara krav på säkerhetsskyddsåtgärder, säkerhetsåtgärder, företagets och personalens lämplighet från säkerhetsskyddssynpunkt, att kunna kontrollera säkerhetsskyddskraven, internationellt åtagande om säkerhetsskydd, att skapad information eller immaterialrätter kan återtas när kontraktet avslutats, leverans eller support inom viss tid, att leverantören själv ska utföra verksamheten, personalens kompetens, att endast viss personal ska ta del av vissa uppgifter, att verksamheten ska vara etablerad i Sverige på grund av någon identifierad omständighet m.m. I bedömningen måste man också pröva vilka krav som går att ställa med hänsyn till upphandlingslagstiftningens regler om proportionalitet, icke-diskriminering och transparens.
Det är först när samtliga krav på säkerhetsskydd har identifierats som det är möjligt att göra en bedömning av om en utkontraktering eller annan anskaffning kan komma att undantas från upphandlingslagstiftningen, exempelvis för att skyddet av Sveriges väsentliga säkerhetsintressen inte kan säkerställas om upphandlingen eller projekttävlingen genomförs enligt upphandlingslagstiftningen. Det är viktigt att framhålla här att den bedömning som verksamhetsutövaren själv gör i någon mån är preliminär, eftersom den kan komma att överprövas av domstol, som kan göra en annan bedömning. En sådan prövning kan ske i en överprövningsprocess där domstolen kan komma till slutsatsen att ett annat förfarande ska användas. Det kan också ske inom ramen för en skadeståndstalan där domstolen bedömer att en leverantör har lidit skada till följd av att den upphandlande myndigheten inte har följt bestämmelserna i upphandlingslagstiftningen.
203
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Bedömningen måste göras tidigt
När verksamhetsutövaren har identifierat samtliga krav som behöver ställas måste den första bedömningen vara om det över huvud taget är lämpligt att inleda det planerade förfarandet. Detta gäller oavsett om det är fråga om en utkontraktering eller något annat slags förfarande där säkerhetsskyddsklassificerade uppgifter eller någon del av den säkerhetskänsliga verksamheten i övrigt exponeras förutomstående. Med andra ord måste verksamhetsutövaren bedöma om det är möjligt och lämpligt att uppställa de nödvändiga kraven på en leverantör eller annan motpart. Om detta inte är möjligt eller lämpligt, oavsett om detta beror på upphandlingslagstiftningen eller av någon annan anledning, bör verksamhetsutövaren naturligtvis inte inleda det planerade förfarandet.
Det är viktigt att frågan om det planerade förfarandets lämplighet prövas redan i det första skedet och inte kommer som en eftertanke när beslutet att inleda förfarandet redan är fattat. Detta gäller i synnerhet i fråga om myndigheters utkontrakteringar och andra slags upphandlingar. Det kan nämligen av såväl rättsliga och ekonomiska som praktiska skäl vara svårt att backa när man väl har påbörjat en upphandling. Ett exempel på problem som kan uppstå är att en avbruten upphandling i vissa fall kan leda till skadeståndskrav. Ett annat problem är att verksamhetsutövaren inför en utkontraktering kan ha försatt sig i en situation där inga lämpliga handlingsalternativ återstår, t.ex. för att man har frånhänt sig de resurser som skulle behövas för att man själv skulle kunna bedriva verksamheten. En verksamhetsutövare kan alltså hamna i ett läge där man varken kan bedriva verksamheten själv eller utkontraktera den. Det sistnämnda fallet illustreras av de problem som aktualiserades i fallet med Transportstyrelsens utkontraktering av it-drift (Ds 2018:6 s. 187 och 188).
I avsnitt 6.6 föreslår vi att säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt rapportera till organisationens högsta chef. Genom detta förslag skapas det enligt vår mening bättre förutsättningar för att frågor om säkerhetsskydd aktualiseras i ett tidigt skede av de förfaranden som planeras.
204
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
6.7.2 Det behövs ytterligare åtgärder för att skapa garantier för att lämpligheten prövas
Trots vikten av en tidig och noggrann analys av om en utkontraktering är lämplig från säkerhetsskyddssynpunkt visar vår kartläggning att det inte sällan brister just på denna punkt. Det är alltså vanligt att verksamhetsutövaren inte tycks ha gjort någon analys av om en utkontraktering är lämplig från säkerhetsskyddssynpunkt, eller att analysen är bristfällig (problem nr 3). Detta är ett allvarligt problem som enligt vår bedömning kräver förebyggande åtgärder. I enlighet med våra resonemang i avsnitt 6.5 är det lika viktigt att det sker en lämplighetsprövning vid andra slags upphandlingar, avtal, samarbeten och samverkan där utomstående involveras i den säkerhetskänsliga verksamheten.
När det gäller statliga myndigheters upphandlingar finns det redan vissa regler på området, som har införts i avvaktan på våra förslag. I 16 a § gamla säkerhetsskyddsförordningen har det nyligen införts bestämmelser som innebär att det i vissa fall finns en skyldighet för verksamhetsutövaren att göra en särskild säkerhetsanalys och därefter samråda med Försvarsmakten eller Säkerhetspolisen inför en upphandling. En något omarbetad bestämmelse på samma tema finns också i 2 kap. 6 § nya säkerhetsskyddsförordningen (se avsnitt 6.3.2). Det framgår av den promemoria som låg till grund för bestämmelsen i gamla säkerhetsskyddsförordningen att en lämplighetsanalys bör ingå som ett led i den särskilda säkerhetsanalys som krävs enligt bestämmelsen (Skärpt kontroll av statliga myndigheters
utkontraktering och överlåtelse av säkerhetskänslig verksamhet,
Ju 2017/07544/L4 s. 27). Detta framgår dock inte uttryckligen av bestämmelsen, varför det får anses något oklart vad som åligger de statliga myndigheterna i detta avseende. Något klargörande har inte skett i 2 kap. 6 § nya säkerhetsskyddsförordningen. Det förfarande som föregår samrådet, dvs. särskild säkerhetsanalys, kallas i den nya bestämmelsen för särskild säkerhetsbedömning.
Den nuvarande regleringen kan skärpas men inte försvagas
Mot bakgrund av att vårt uppdrag är att överväga en förstärkning av de förebyggande åtgärderna vid bl.a. utkontraktering kan det enligt vår mening inte komma i fråga att lämna förslag som är mindre
205
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
långtgående än de bestämmelser som redan gäller. Det bör alltså även i fortsättningen gälla ett krav på att statliga myndigheter gör en särskild säkerhetsbedömning inför vissa säkerhetsskyddade upphandlingar. Frågan är således enbart om reglerna ska skärpas i något avseende eller få ett bredare tillämpningsområde.
6.7.3 Kravet på särskild säkerhetsbedömning bör utvidgas
En förutsättning för att en verksamhetsutövare ska kunna göra en välgrundad bedömning av om ett visst planerat förfarande är lämpligt från säkerhetsskyddssynpunkt är att verksamhetsutövaren har kunskap om bl.a. vilka säkerhetsskyddsklassificerade uppgifter som den tänkta motparten kan komma att få tillgång till. Det har därför stor betydelse i vilken omfattning det gäller en skyldighet att göra en särskild säkerhetsbedömning (jfr 2 kap. 6 § nya säkerhetsskyddsförordningen).
Alla verksamhetsutövare bör omfattas
En första fråga är om fler verksamhetsutövare än i dag bör omfattas av kravet på särskild säkerhetsbedömning. De nuvarande och kommande bestämmelserna om särskild säkerhetsanalys respektive säkerhetsbedömning gäller enbart för statliga myndigheters upphandlingar i vissa fall. Med hänsyn till att enskilda aktörer i relativt stor omfattning bedriver säkerhetskänslig verksamhet, och med hänsyn till att säkerhetskänslig verksamhet även bedrivs i kommuner och landsting, anser vi att även den typen av verksamhetsutövare bör omfattas av bestämmelser om särskild säkerhetsbedömning. Dessa bör alltså gälla för alla verksamhetsutövare för vilka säkerhetsskyddslagen gäller.
Särskild säkerhetsbedömning bör göras i alla fall där det krävs säkerhetsskyddsavtal
Härefter måste man ringa in precis vilka slags förfaranden en reglering om särskild säkerhetsbedömning bör omfatta. Som vi redan konstaterat kan det knappast komma i fråga att införa bestämmelser med ett snävare tillämpningsområde än vad som kommer att gälla
206
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
enligt nya säkerhetsskyddsförordningen. Det kan knappast heller anföras några sakliga skäl för en sådan inskränkning. Tvärtom finns det enligt vår mening starka skäl som talar för att reglerna får ett bredare tillämpningsområde än de får enligt nya säkerhetsskyddsförordningen.
Skälen för att ge reglerna ett bredare tillämpningsområde är till stor del desamma som har anförts i kapitel 5 till stöd för en utvidgad skyldighet att ingå säkerhetsskyddsavtal. Vi har återgett dessa i avsnitt 6.5 och där lagt fram dem som argument för att inte begränsa våra överväganden om förebyggande åtgärder till enbart utkontraktering och upplåtelse av säkerhetskänslig verksamhet. Skälen gör sig gällande även här. Vi menar alltså att det som i första hand avgör om det finns ett behov av en särskild säkerhetsbedömning är om ett visst förfarande innebär att säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt kan exponeras för någon utomstående. Detta kriterium har betydligt större praktisk betydelse än hur ett visst förfarande rubriceras rättsligt. Med hänsyn till detta anser vi, i likhet med vad vi kommit fram till i kapitel 5, att bestämmelserna bör frigöras från kopplingen till upphandling. De bör inte heller begränsas till utkontraktering eller upplåtelse av säkerhetskänslig verksamhet. I stället anser vi att skyldigheten bör knytas till om förfarandet innebär en exponering av säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt för någon utomstående. Detta innebär att reglerna som utgångspunkt kan knytas till den reglering som vi i kapitel 5 föreslår om skyldighet att ingå säkerhetsskyddsavtal.
Skyldigheten bör inte kopplas till förvaring av vissa uppgifter eller tillgång till vissa informationssystem
Enligt bestämmelserna i 2 kap. 6 § nya säkerhetsskyddsförordningen gäller kravet på särskild säkerhetsbedömning om upphandlingen omfattas av ett krav på säkerhetsskyddsavtal och leverantören kan få tillgång till eller möjlighet att förvara uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför myndighetens lokaler, eller leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. Frågan är om dessa
207
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
krav ska föras över till den reglering som vi nu diskuterar, eller om tillämpningsområdet ska breddas.
Det bör till att börja med beaktas att bestämmelserna i nya säkerhetsskyddsförordningen inte bara innebär ett krav på en särskild säkerhetsbedömning. Till denna skyldighet har man också kopplat en skyldighet att samråda med en tillsynsmyndighet, och befogenheter för denna tillsynsmyndighet att utfärda förelägganden och dessutom förbjuda den planerade upphandlingen i vissa fall. Det handlar alltså om betydligt mer långtgående skyldigheter och om kraftfulla möjligheter till ingripanden. Det vi nu diskuterar är enbart krav på en egen särskild säkerhetsbedömning. Det framstår då varken som nödvändigt eller lämpligt att begränsa tillämpligheten på det sätt som gjorts i 2 kap. 6 § nya säkerhetsskyddsförordningen.
Vi anser för vår del att alla typer av upphandlingar, samarbeten och liknande förfaranden som innebär krav på säkerhetsskyddsavtal enligt våra förslag i kapitel 5 potentiellt kan medföra negativa konsekvenser för Sveriges säkerhet. Det är då inte avgörande var uppgifter t.ex. förvaras, även om sårbarheterna typiskt sett kan vara större när utomstående får tillgång till eller möjlighet att förvara uppgifter utanför verksamhetsutövarens lokaler. Vidare är de åligganden som följer av bestämmelser om särskild säkerhetsbedömning inte särskilt betungande. Det framstår därför inte som orimligt att bestämmelserna träffar relativt brett. Vi anser följaktligen att kravet på särskild säkerhetsbedömning inte bör begränsas till fall där t.ex. en leverantör kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter eller säkerhetskänsliga informationssystem utanför verksamhetsutövarens lokaler.
Skyldigheten bör inte begränsas till uppgifter i de två högsta säkerhetsskyddsklasserna
Det anförda talar också för att det inte är lämpligt att begränsa bestämmelserna till uppgifter i de två högsta säkerhetsskyddsklasserna på det sätt som gjorts i 2 kap. 6 § nya säkerhetsskyddsförordningen. En sådan begränsning innebär att bara en relativt liten del av alla upphandlingar m.m. kommer att omfattas av regleringen. Detta är enligt vår mening inte önskvärt, eftersom det inte kan förväntas leda till den allmänna förbättring av säkerhetsskyddsarbetet i samband
208
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
med bl.a. utkontraktering som behövs. Frågan är då om bestämmelsen i stället ska begränsas på samma sätt som bestämmelsen om säkerhetsskyddsavtal – dvs. att den nedre gränsen för tillämplighet går vid uppgifter i den näst lägsta säkerhetsskyddsklassen. Alternativet skulle vara att det inte finns någon begränsning alls i fråga om säkerhetsskyddsklass och att även uppgifter i den lägsta säkerhetsskyddsklassen får omfattas.
En lösning som går ut på att man fullt ut kopplar bestämmelsen till skyldigheten ingå ett säkerhetsskyddsavtal framstår som mest konsekvent med systemet i övrigt. Det bör också beaktas att regleringen innebär en viss belastning för verksamhetsutövarna och därmed kan vara kostnadsdrivande. I de fall säkerhetsskyddsavtal ska ingås måste verksamhetsutövaren under alla förhållanden göra en analys av vilken exponering som kommer att ske av uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i övrigt av säkerhetskänslig verksamhet av motsvarande betydelse. Det innebär alltså inte något egentligt merarbete om detta krav anges uttryckligen. Skillnaden blir i den delen endast att det tillkommer ett uttryckligt krav på dokumentation.
Vår bedömning
Vid en avvägning anser vi att skälen överväger för att man fullt ut kopplar regleringen om särskild säkerhetsbedömning till kravet på att ingå säkerhetsskyddsavtal, så som detta har formulerats i våra förslag i kapitel 5. En sådan lösning innebär att alla som bedriver säkerhetskänslig verksamhet måste göra en särskild säkerhetsbedömning innan de inleder en upphandling, ingår ett avtal eller påbörjar en samverkan eller ett samarbete som innebär att den utomstående parten kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. Samma skyldighet bör gälla om förfarandet i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Skyldigheten gäller då med undantag för sådan samverkan och sådana samarbeten som inte omfattas av kravet på säkerhetsskyddsavtal.
209
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Den särskilda säkerhetsbedömningen ska dokumenteras
Det bör även i fortsättningen gälla ett krav på att den särskilda säkerhetsbedömningen ska dokumenteras.
6.7.4 Det bör införas ett uttryckligt krav på lämplighetsprövning
I enlighet med vår bedömning att det behövs ytterligare garantier för att lämplighetsprövningen görs, finns det starka skäl att överväga om det bör gälla ett uttryckligt krav på verksamhetsutövaren att göra en sådan prövning i vissa situationer. Vi anser att en sådan regel, i kombination med kravet på särskild säkerhetsbedömning, skulle förstärka principen om att det är verksamhetsutövaren själv som bär ansvaret för säkerhetsskyddet och att detta gäller även när man överväger att utkontraktera en viss verksamhet eller på något annat sätt involvera utomstående i verksamheten.
En bestämmelse som ställer krav på verksamhetsutövaren att noga pröva lämpligheten och att avstå från en ett planerat förfarande om det är olämpligt, innebär vidare att vikten av säkerhetsskydd i samband med exempelvis utkontraktering lyfts fram. Detta är viktigt inte minst eftersom frågor om säkerhetsskydd enligt vår kartläggning ofta är eftersatta och av ledningen uppfattas som bromsklossar för en önskad åtgärd snarare än som centrala frågor. Det kan ge verksamhetsutövarens säkerhetsfunktion ”råg i ryggen” och ett tydligare stöd för att motsätta sig en utkontraktering eller någon annan åtgärd som kanske är önskvärd av andra skäl, men olämplig med hänsyn till säkerhetsskyddet. För myndigheter och andra verksamhetsutövare blir det tydligare att kraven på effektiv resursanvändning måste balanseras mot säkerhetsskyddets krav.
Det finns vidare resursskäl som talar för bestämmelser av det nu diskuterade slaget. Såväl den nuvarande som den kommande regleringen om förfarandet vid vissa säkerhetsskyddade upphandlingar bygger på att en tillsynsmyndighet ska kopplas in genom ett samrådsförfarande. Förutom att det kan uppfattas som att huvudansvaret lyfts från verksamhetsutövaren, är det också viktigt att tillsynsmyndigheterna inte belastas i onödan. En eventuell formell samrådsskyldighet bör alltså enligt vår bedömning inte träda in förrän efter det att
210
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
verksamhetsutövaren har gjort en noggrann analys av sina skyddsvärden och behovet av säkerhetsskydd och, utifrån den analysen och andra relevanta faktorer, kommit fram till bedömningen att det är lämpligt från säkerhetsskyddssynpunkt att inleda en utkontraktering eller att annat förfarande som kan innebära exponering av säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet i övrigt. Vi återkommer till frågan om samrådsskyldighet i avsnitt 6.8.
Med hänsyn till det anförda föreslår vi att det införs bestämmelser där det anges att den särskilda säkerhetsbedömningen ska följas av en prövning av om ett planerat förfarande är lämpligt från säkerhetsskyddssynpunkt. Prövningen bör göras med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter. Förfarandet bör kallas för lämplighetsprövning. Om prövningen leder till bedömningen att förfarandet inte är lämpligt, bör det uttryckligen framgå av regleringen att verksamhetsutövaren ska avstå från att inleda förfarandet.
Det bör råda ett krav på att lämplighetsprövningen dokumenteras
För att man i efterhand ska kunna kontrollera vilka analyser och bedömningar som gjorts bör det krävas att inte bara den särskilda säkerhetsbedömningen utan också lämplighetsprövningen dokumenteras.
6.7.5 Reglerna bör omfatta hela det planerade förfarandet
För att reglerna om särskild säkerhetsbedömning och lämplighetsprövning ska fylla sin funktion och samtidigt inte bli för betungande bör de omfatta samtliga moment i det planerade förfarandet som medför en skyldighet att ingå säkerhetsskyddsavtal. Därmed behöver verksamhetsutövaren i ett tidigt skede identifiera vilka moment i det planerade förfarandet som resulterar i sådan exponering att bestämmelsen om säkerhetsskyddsavtal aktualiseras.
Om det är fråga om offentlig upphandling kan säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet exponeras under såväl upphandlingsprocessen som efter att affärsavtalet ingåtts. Verksamhetsutövaren behöver då inkludera båda dessa
211
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
moment i den särskilda säkerhetsbedömningen och i lämplighetsprövningen.
6.7.6 Reglerna förebygger mer än ett problem
Vår bedömning är att regler om särskild säkerhetsbedömning och lämplighetsprövning kan förebygga både det som vi har kallat problem 2, dvs. att verksamhetsutövare har bristande kunskap om de egna skyddsvärdena och det som vi har kallat problem 3, dvs. bristande lämplighetsprövning. De kan också motverka att lämplighetsprövningen görs för sent i processen, med alla de konsekvenser som detta kan medföra.
6.7.7 Reglerna bör föras in i ett nytt kapitel i säkerhetsskyddslagen
Bestämmelser med den innebörd som vi förordar innebär åligganden för enskilda och kommuner och måste därför finnas i lag (8 kap. 2 § regeringsformen). Några regler om särskild säkerhetsbedömning behöver då inte finnas i säkerhetsskyddsförordningen.
Som framgår längre fram i detta kapitel och även av kapitel 7 föreslår vi, utöver skyldigheten att göra en särskild säkerhetsbedömning och lämplighetsprövning, ett relativt omfattande regelverk om bl.a. samrådsskyldighet och möjligheter att ingripa i planerade och pågående förfaranden. Bestämmelserna passar enligt vår mening inte särskilt väl in i något av de befintliga kapitlen i nya säkerhetsskyddslagen. Vi förordar därför att det införs ett nytt kapitel, kallat 2 a kap.
Skyldigheter och befogenheter i samband med vissa förfaranden.
6.8 En andra kontrollstation – samråd, förelägganden och förbud
Förslag: I 2 kap. 6 § nya säkerhetsskyddsförordningen finns det
bestämmelser om krav på samråd inför vissa av statliga myndigheters upphandlingar och en möjlighet för Säkerhetspolisen eller Försvarsmakten att meddela förelägganden eller besluta att upphandlingen inte får genomföras. Bestämmelser om krav på samråd,
212
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
föreläggande och förbud förs i stället in i nya säkerhetsskyddslagen. Samtidigt breddas tillämpningsområdet. Enligt bestämmelserna åläggs alla verksamhetsutövare att samråda med tillsynsmyndigheten innan vissa typer av förfaranden inleds. Skyldigheten gäller om det planerade förfarandet innebär krav på säkerhetsskyddsavtal, och
1. innebär att den utomstående parten kan få tillgång till eller
möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler,
2. utgör en upplåtelse som kan ge den utomstående parten till-
gång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet, eller
3. ger den utomstående parten tillgång till informationssystem
utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet.
Tillsynsmyndigheten får under samrådet förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet. Ett föreläggande eller förbud får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.
Förvaltningslagen (2017:900) gäller för handläggningen, även hos Säkerhetspolisen. Under förfarandet om samråd, föreläggande och förbud tillämpar tillsynsmyndigheterna dock inte delar av förvaltningslagens bestämmelser om försenad handläggning.
Om samrådet inte utmynnar i ett förbud för verksamhetsutövaren att gå vidare med förfarandet ska ärendet avslutas med ett beslut om att samrådet avslutas.
Om förutsättningarna för samrådsskyldighet är uppfyllda får även tillsynsmyndigheten ta initiativ till samråd. Bestämmelserna om föreläggande och förbud gäller även då.
213
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Tillsynsmyndigheten får bestämma att ett beslut om föreläggande ska gälla omedelbart.
Bedömning: Överlämnande av sekretessbelagda uppgifter till till-
synsmyndigheten inom ramen för samrådet omfattas av reglerna om nödvändigt utlämnande i offentlighets- och sekretesslagen (2009:400). Eftersom bestämmelserna i 10 kap. 3 § offentlighetsoch sekretesslagen tillgodoser behovet av skydd för känsliga uppgifter i samrådsärendet finns det inte anledning att inskränka reglerna om partsinsyn och kommunikation. Utrymmet för att utelämna beslutsmotiveringar är tillräckligt för att skydda känsliga uppgifter i samrådsärendet.
Som vi har konstaterat i avsnitt 6.7 är det verksamhetsutövaren som har ansvaret för att noggrant analysera om det är lämpligt att inleda ett visst förfarande som innebär en exponering av säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet, och i så fall vilka villkor som bör gälla för denna i fråga om säkerhetsskydd.
6.8.1 Det bör finnas en samrådsskyldighet och en möjlighet att meddela förelägganden eller förbjuda vissa förfaranden
Den 1 april 2018 infördes det i 16 a § gamla säkerhetsskyddsförordningen bestämmelser som bl.a. syftar till att motverka de problem som nyss beskrivits. Bestämmelserna, som vi har beskrivit i avsnitt 6.3.2, handlar inte bara om utkontraktering, utan gäller vid statliga myndigheters upphandling generellt. Utöver ett krav på en särskild säkerhetsanalys i vissa fall, innebär bestämmelserna ett krav på att den upphandlande myndigheten samråder med Försvarsmakten eller Säkerhetspolisen, beroende på vilken av dessa myndigheter som har tillsynsansvaret. Tillsynsmyndigheten får vidare förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett sådant föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare
214
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
åtgärder vidtas, får tillsynsmyndigheten besluta att myndigheten inte får genomföra upphandlingen.
Motsvarande regler om samråd, förelägganden och förbud finns i 2 kap. 6 § nya säkerhetsskyddsförordningen, som träder i kraft den 1 april 2019. En skillnad är att de nya reglerna bara gäller för uppgifter i säkerhetsskyddsklassen hemlig eller högre. Vidare anges att bestämmelserna även ska tillämpas i fall där leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. Begreppet särskild säkerhetsanalys här där ersatts med särskild säkerhetsbedömning.
Av beskrivningen i det föregående har framgått att det redan i gällande rätt, och i den kommande regleringen, finns en kontrollstation, som i vissa fall träder in när en statlig myndighet har för avsikt att inleda en säkerhetsskyddad upphandling. Även med beaktande av vårt förslag i avsnitt 6.7 om ett förtydligat ansvar för verksamhetsutövaren själv att pröva lämpligheten, är det vår bedömning att det också i fortsättningen behövs bestämmelser av ett sådant slag, dvs. bestämmelser som skapar ytterligare garantier för att planerade upphandlingar är lämpliga och omgärdas av ett tillräckligt säkerhetsskydd. Med tanke på att bestämmelserna i den gamla säkerhetsskyddsförordningen nyligen har införts och har föregåtts av ett remitteringsförfarande, och att införandet av reglerna har krävt att Försvarsmakten och Säkerhetspolisen anpassar sin organisation för att kunna leva upp till kraven på samrådsförfarande, är det en rimlig utgångspunkt att bestämmelserna i stora drag bör bygga på den ordning som redan gäller. Vi anser också att detta är lämpligt utifrån de problem som vi har identifierat i vår kartläggning.
Vår bedömning är alltså att det i vissa fall bör gälla en andra kontrollstation, som innebär krav på ett samrådsförfarande, att det bör finnas en möjlighet att förelägga verksamhetsutövaren att vidta åtgärder och – ytterst – att besluta om att det planerade förfarandet inte får genomföras. Det finns dock flera frågor som måste besvaras. Dessa måste vidare ses i ljuset av våra övriga förslag, och i synnerhet förslagen som gäller en utvidgad skyldighet att ingå säkerhetsskyddsavtal (se kapitel 5).
Eftersom vårt uppdrag handlar om att stärka skyddet kan det inte bli fråga om att begränsa räckvidden av de bestämmelser som redan gäller, utan enbart om att utvidga eller skärpa dessa.
215
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
6.8.2 Bestämmelserna bör inte bara avse upphandlingar
Vi har både i kapitel 5 och tidigare i detta kapitel gjort bedömningen att behovet av förebyggande åtgärder inte är begränsat till utkontraktering och upplåtelse och inte heller till upphandlingar och andra anskaffningar. Bedömningen gör sig gällande även i fråga om regler om krav på samråd, förelägganden och förbud. Vår uppfattning är alltså att andra förfaranden kan vara väl så säkerhetskänsliga som en säkerhetsskyddad upphandling och att det i vissa sådana fall kan finnas ett behov av sådana bestämmelser som nu diskuteras. Bestämmelserna bör alltså inte vara begränsade till utkontraktering och upplåtelse, och inte heller till upphandling. I stället anser vi det lämpligt, och mest konsekvent med våra förslag i övrigt, att de som utgångspunkt kan träffa alla de typer av avtal och samverkan m.m. som kan omfattas av ett krav på säkerhetsskyddsavtal i enlighet med vad vi föreslagit i kapitel 5. Vi anser med andra ord att reglerna bör kunna träffa såväl upphandlingar och avtal av vilket slag som helst, som samarbeten och samverkan av olika slag. Sådan myndighetssamverkan m.m. som vi föreslår ska vara undantagen från kravet på säkerhetsskyddsavtal, bör i konsekvens med förslagen i kapitel 5 också vara undantagna från bestämmelser om krav på samråd m.m.
Vårt ställningstagande avser enbart frågan om vilka typer av förfaranden som bör kunna omfattas av regleringen. Det gäller alltså inte frågan om vilka som bestämmelserna ska gälla för och inte heller vilka ytterligare villkor som ska vara uppfyllda – t.ex. i fråga om exponering av säkerhetsskyddsklassificerade uppgifter – för att de ska tillämpas. Vi tar upp dessa frågor i det följande.
6.8.3 Alla verksamhetsutövare bör omfattas
Regleringen om samråd m.m. i såväl gamla som nya säkerhetsskyddsförordningen riktar sig enbart till statliga myndigheter. Vi kan dock inte se att en sådan begränsning är sakligt motiverad. Tvärtom framstår behovet av en samrådsskyldighet och ytterst en möjlighet att förhindra vissa förfaranden som innebär en exponering av exempelvis säkerhetsskyddsklassificerade uppgifter som minst lika stort när det är fråga om enskilda verksamhetsutövare, kommuner och landsting. Förhållanden som talar för att den andra kontroll-
216
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
stationen bör omfatta alla verksamhetsutövare under nya säkerhetsskyddslagen kan t.ex. vara spänningsförhållandena mellan säkerhetsskydd och företagsekonomiska respektive regionalpolitiska överväganden. En ordning där alla typer av verksamhetsutövare omfattas stämmer också bäst med hur säkerhetsskyddsregleringen numera är uppbyggd i övrigt och med våra övriga förslag.
Starka skäl talar därför för att regleringen utsträcks så att alla verksamhetsutövare som omfattas av säkerhetsskyddslagen träffas. En sådan förändring väcker frågor om skyddet för enskildas rättigheter. Vi har i avsnitt 3.6 redogjort för viss central reglering rörande bl.a. egendomsskydd. Frågan är om bestämmelser av det slag som vi nu diskuterar är förenliga med denna reglering.
Mot bakgrund av de synnerligen tungt vägande intressen som talar för att man kraftfullt kan motverka olämpliga förfaranden som avser säkerhetskänslig verksamhet, är det vår sammantagna bedömning att ett krav på samråd, en möjlighet att utfärda förelägganden och – ytterst – förbud mot ett planerat förfarande, i och för sig utgör en godtagbar inskränkning av enskildas rättigheter. Emellertid förutsätter denna bedömning att regleringen omgärdas av lämpliga rättssäkerhetsgarantier och inte gäller i allt för bagatellartade fall. I annat fall kan det nämligen ifrågasättas om inskränkningen är proportionerlig och i övrigt godtagbar. Vi återkommer till frågan om regleringens närmare tillämpningsområde under nästa rubrik. En fördjupad analys av förhållandet till egendomsskyddet och näringsfriheten finns i avsnitt 6.13.
Eftersom bestämmelserna innebär åligganden för enskilda och kommuner måste de meddelas i lag. De bör alltså tas in i nya säkerhetsskyddslagen, i det nya 2 a kap. som vi föreslår ska införas (se avsnitt 6.7.7).
6.8.4 Den andra kontrollstationen bör bara gälla i vissa särskilt angelägna situationer
Enligt bestämmelsen i 2 kap. 6 § nya säkerhetsskyddsförordningen gäller samrådsskyldigheten och möjligheten att meddela förelägganden och ytterst förbjuda en viss upphandling enbart om leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre
217
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
utanför myndighetens lokaler, eller kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. Villkoret ”allvarlig skada” överensstämmer med vad som krävs för att en uppgift ska placeras i säkerhetsskyddsklassen hemlig (2 kap. 5 § första stycket nya säkerhetsskyddslagen).
Som vi har anfört i föregående avsnitt är det angeläget att utkontraktering och andra förfaranden som medför en exponering av exempelvis säkerhetsskyddsklassificerade uppgifter inte sker om det är olämpligt. Detta gäller även om den skada som kan orsakas för Sveriges säkerhet inte är allvarlig. Samtidigt får systemet med samråd, föreläggande och förbud inte bli alltför kostnadsdrivande för verksamhetsutövarna. Upphandlingar måste kunna göras utan onödig fördröjning. Detsamma gäller givetvis andra typer av förfaranden som regleringen kan komma att träffa. Till saken hör också att särskilt möjligheten att förhindra ett planerat förfarande, t.ex. en utkontraktering eller anskaffning av annat slag, utgör en inskränkning i verksamhetsutövarens möjlighet att disponera över sin egendom. Ett förbud påverkar inte bara verksamhetsutövaren utan kan också ha stor ekonomisk betydelse för en tänkt motpart. Om reglerna görs tillämpliga på enskilda verksamhetsutövare – vilket vi har föreslagit i det föregående – får dessa aspekter särskild betydelse. Det anförda talar starkt för att bestämmelserna om samråd, förelägganden och förbud begränsas till de fall som kan identifieras som allra mest angelägna från säkerhetsskyddssynpunkt.
Dessutom får bestämmelserna om samråd, förelägganden och förbud inte innebära en onödigt stor arbetsbelastning för myndigheterna som ska ansvara för samrådet. En stor ärendemängd kan leda till långa handläggningstider, vilket kan medföra stora nackdelar för verksamhetsutövarna. Om förfarandet blir alltför krävande, kan det dessutom leda till kostnader för de myndigheter som ansvarar för samrådet som är oproportionerliga i förhållande till nyttan med åtgärden. Även detta talar för att kravet på samråd bara bör gälla i de mest angelägna fallen. Vi diskuterar i det följande vad detta bör innebära i praktiken.
218
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
Allvarlig skada är en lämplig nivå
Vår bedömning är för det första att den reglering som finns i nya säkerhetsskyddsförordningen i fråga om nivån på den eventuella skadan, dvs. allvarlig skada, utgör en lämplig avvägning mellan de olika motstående intressena. Bestämmelserna om samråd, förelägganden och förbud bör alltså endast gälla om den skada som kan uppstå är på denna nivå eller högre.
Man bör i huvudsak behålla kopplingen till vissa uppgifter och informationssystem
En annan fråga är om regleringen även i fortsättningen bör vara begränsad på det sätt som gjorts i 2 kap. 6 § nya säkerhetsskyddsförordningen eller om den ska utvidgas i något eller några avseenden.
Den nuvarande regleringen
Som har framgått tidigare omfattar regleringen i den nyss nämnda paragrafen två situationer. Det finns anledning att här uppehålla sig något kring regleringen i fråga om tillgång till vissa informationssystem. Begreppet informationssystem definieras i 1 kap. 5 § nya säkerhetsskyddsförordningen som ett system av sammansatt mjukoch hårdvara som behandlar information. Däremot finns det ingen definition av vad som avses med ett säkerhetskänsligt informations-
system.
Viss ledning vid tolkning av begreppet kan hämtas i förarbetena. Begreppet säkerhetskänsliga informationssystem används nämligen i propositionen till nya säkerhetsskyddslagen (prop. 2017/18:89 s. 70). Regeringen framhöll där att det fanns ett stort behov av att utöka skyddet för säkerhetskänsliga informationssystem, även om dessa inte innehåller säkerhetsskyddsklassificerade uppgifter. Det sägs vidare att det kan röra system som har ett högt skyddsvärde av andra skäl, t.ex. inom digital infrastruktur eller system för styrning av kraftförsörjning. Vidare angavs att det även kan gälla uppgifter som inte är säkerhetsskyddsklassificerade men ändå bedöms som säkerhetskänsliga. Resonemanget lades till grund för bedömningen att säkerhetsskyddsåtgärden informationssäkerhet inte bara ska handla om
219
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
skydd för säkerhetsskyddsklassificerade uppgifters konfidentialitet, utan även ska förebygga skadlig inverkan på uppgifter och informationssystem som avser säkerhetskänslig verksamhet, även om dessa inte utgör eller innehåller säkerhetsskyddsklassificerade uppgifter.
Med hänsyn till ordalydelsen och de redovisade förarbetsuttalandena anser vi att bestämmelsen i 2 kap. 6 § första stycket 2 nya säkerhetsskyddsförordningen måste tolkas på så sätt att den inte bara avser informationssystem som innehåller säkerhetsskyddsklassificerade uppgifter, utan att den också träffar informationssystem som av annan anledning är säkerhetskänsliga. Det avgörande kriteriet för bestämmelsens tillämplighet torde då egentligen inte vara begreppet ”säkerhetskänsliga informationssystem” utan bedömningen att obehörig åtkomst till ett visst informationssystem kan medföra allvarlig skada för Sveriges säkerhet. Annorlunda uttryckt kan man säga att begreppet ”säkerhetskänsliga informationssystem” saknar självständig betydelse såvitt vi kan förstå.
Skäl som talar för att man behåller kopplingen till förvaring av och tillgång till vissa uppgifter och informationssystem
Flera skäl kan anföras till stöd för att man behåller den begränsning som gäller enligt 2 kap. 6 § första stycket nya förordningen. Ett första skäl är att sådana situationer som omfattas av bestämmelserna typiskt sett framstår som förknippade med särskilda sårbarheter, eftersom det rör sig om fall där mycket känsliga uppgifter hanteras utanför verksamhetsutövarens kontroll. Just detta moment är vanligt förekommande vid utkontraktering av t.ex. it-drift, som är ett typexempel på sådana förfaranden som kan vara problematiska och som står i centrum för vårt uppdrag. Det är just i sådana situationer som aves i paragrafen som det kan finnas en möjlighet för exempelvis någon anställd hos en leverantör att sammanställa och bearbeta uppgifter ur en större uppgiftsmängd och därigenom få fram mycket känslig information. Uppgifter och informationssystem är över huvud taget särskilt utsatta för sårbarheter i de situationer som nu diskuteras, vilket kan anföras som ett skäl för att regleringen begränsas till dessa fall.
Ett annat skäl för att behålla de begränsningar som följer av 2 kap. 6 § nya säkerhetsskyddsförordningen är att regleringen är ny och att det därför kan finnas anledning att först utvärdera dess effektivitet
220
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
innan man gör större ändringar än nödvändigt. Avgränsningen stämmer vidare delvis överens med den avgränsning som hittills gällt för ett krav på säkerhetsskyddsavtal på den högsta av tre nivåer, s.k. nivå 1-avtal, som innebär att leverantören hanterar och förvarar hemliga uppgifter i sina egn a lokaler.
14
Avgränsningen är således i
linje med hur Säkerhetspolisen och Försvarsmakten hittills har bedömt vilka situationer som är särskilt känsliga från ett säkerhetsskyddsperspektiv. Den omständigheten att vi föreslår att bestämmelserna utvidgas i andra avseenden, nämligen på så sätt att de träffar fler verksamhetsutövare och även andra förfaranden än upphandlingar, kan också mana till viss försiktighet.
Ett tredje skäl är att vi lämnar andra förslag som motverkar riskerna i samband med bl.a. olika former av samarbeten och samverkan, så som en utökad skyldighet att ingå säkerhetsskyddsavtal (se kapitel 5) och en skyldighet att vissa fall avstå från förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten om de är olämpliga från säkerhetsskyddssynpunkt (se avsnitt 6.7).
Skäl som talar för ett bredare angreppsätt
Samtidigt finns det också vissa skäl som talar för ett bredare angreppssätt. Den reglering som finns i 16 a § gamla säkerhetsskyddsförordningen och som med vissa förändringar förs över till 2 kap. 6 § nya säkerhetsskyddsförordningen, bygger delvis på den gamla säkerhetsskyddslagens tillämpningsområde och dess fokus på skydd för
hemliga uppgifter. I den nya lagen har fokus breddats. Regleringen
handlar där också i lika hög grad om skydd för säkerhetskänslig
verksamhet oavsett om det där hanteras säkerhetsskyddsklassificerade
uppgifter. Bestämmelserna om säkerhetsskyddsavtal kommer således inte bara att gälla när en upphandling leder till att leverantören får del av säkerhetsskyddsklassificerade uppgifter på en viss nivå, utan också när denne får tillgång till i övrigt säkerhetskänslig verksamhet på motsvarande nivå. På motsvarande vis gäller de nya reglerna om säkerhetsprövning även personer som ska delta i säkerhetskänslig verksamhet. Bestämmelserna om placering i säkerhetsklass träffar inte bara personer som får del av säkerhetsskyddsklassificerade upp-
14 Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 12.
221
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
gifter utan även personer som till följd av sitt deltagande i verksamheten har möjlighet att orsaka skada för Sveriges säkerhet. Ett bredare angreppssätt skulle därför kunna innebära att samrådsskyldigheten utsträcks till att även gälla alla situationer då utomstående får tillgång till i övrigt säkerhetskänslig verksamhet. Härigenom skulle inte enbart externa aktörer som utför arbete i informationssystem omfattas utan även andra former av utkontrakteringar t.ex. underhållsarbeten vid kärnkrafts-anläggningar och flygplatser. För att inte för många verksamheter ska omfattas av samrådsskyldigheten skulle bestämmelsen kunna begränsas till sådana åtgärder där en utomstående skulle kunna orsaka allvarlig skada för Sveriges säkerhet. Systematiska skäl talar för en sådan utvidgning. Samtidigt skulle ett sådant angreppssätt innebära att fler verksamhetsutövare skulle bli skyldiga att samråda med tillsynsmyndigheterna.
En begränsning till de situationer som tas upp i 2 kap. 6 § nya förordningen framstår inte som helt konsekvent med de principer som ligger till grund för nya säkerhetsskyddslagen, eftersom man inte får med alla situationer där det finns ett behov av skydd för den säkerhetskänsliga verksamheten. Första punkten i paragrafen handlar nämligen enbart om säkerhetsskyddsklassificerade uppgifter. Den andra punkten, om säkerhetskänsliga informationssystem, avser dock inte bara sådana uppgifter utan också skydd för den säkerhetskänsliga verksamheten i övrigt. Det bör också framhållas att skyddet enligt andra punkten inte bara avser konfidentialitet, utan också skydd för systemets tillgänglighet och riktighet.
Avslutande diskussion och bedömning
Sammantaget anser vi att övervägande skäl talar för att man i allt väsentligt bygger den nya regleringen på de begränsningar som framgår av 2 kap. 6 § första stycket nya säkerhetsskyddsförordningen, såvitt gäller tillgång och förvaring av uppgifter och tillgång till vissa informationssystem. Vi anser att detta i huvudsak utgör en lämplig avvägning mellan behovet av förebyggande åtgärder i särskilt angelägna situationer, och intresset av att de myndigheter som ska svara för samrådet inte får en oproportionerligt stor ökning av sin arbetsbelastning. I kombination med våra övriga förslag tror vi att en reglering med detta innehåll kommer att utgöra en tillräckligt
222
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
kraftfull åtgärd för att komma till rätta med de flesta särskilt angelägna situationer. Det finns dock en situation som kan falla utanför tillämpningsområdet och som bör diskuteras särskilt, nämligen vissa upplåtelser. Vi tar upp denna fråga under nästa rubrik.
Vi återkommer därefter till frågor om hur regleringen bör utformas i detalj.
Reglerna om samråd, föreläggande och förbud bör också gälla vid vissa upplåtelser
Ett problem med avgränsningen i 2 kap. 6 § nya säkerhetsskyddsförordningen är att den många gånger inte träffar olika slags upplåtelser av egendom som används i säkerhetskänslig verksamhet. Begreppet upplåtelse har vi behandlat närmare i avsnitt 6.1. Det skulle t.ex. kunna handla om att en verksamhetsutövare tillåter någon utomstående aktör att arbeta i ett laboratorium där det bedrivs säkerhetskänslig verksamhet, eller att verksamhetsutövaren hyr ut ett skyddsrum. I sådana fall handlar det ofta inte om att den utomstående får tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter utanför verksamhetsutövarens lokaler. Upplåtelsen faller då utanför tillämpningsområdet för 2 kap. 6 § första stycket 1 nya säkerhetsskyddsförordningen. Samtidigt ser vi att sådana upplåtelser i vissa fall kan vara olämpliga ur säkerhetsskyddsperspektiv.
När egendom – t.ex. en lokal – upplåts till någon utomstående kan hyresförhållandet många gånger vara den enda relation som finns mellan verksamhetsutövaren och hyresgästen. Man kan inte räkna med att det finns ett lojalitetsförhållande mellan dem. Genom upplåtelsen släpper ofta verksamhetsutövaren under en kortare eller längre tid kontrollen över den egendom som upplåts. På detta sätt liknar upplåtelse en överlåtelse av egendomen, med den skillnaden att upplåtelsen kan avslutas och kontrollen över egendomen återtas. Om upplåtelsen innebär att den utomstående parten, t.ex. en hyresgäst, får tillgång till säkerhetskänslig verksamhet kan detta innebära att hyresgästen får möjlighet att skada den säkerhetskänsliga verksamheten på olika sätt, exempelvis genom sådana antagonistiska handlingar som omnämns i 1 kap. 2 § första stycket nya säkerhetsskyddslagen.
223
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Tilldelning av frekvensutrymmen är en annan företeelse som är relevant för våra förslag. Frekvensutrymmen kan beskrivas som begränsade områden i etern där elektromagnetiska radiovågor breder ut sig (SOU 2008:72 s. 42–50). Det finns frekvensutrymmen som är av stor betydelse för säkerhetskänslig verksamhet, både för att säkerställa förmågan att kommunicera och för styrning och reglering samhällskritiska tjänster. Vi uppfattar det som att tilldelning av frekvenser utgör en form av upplåtelse av utrymmen i etern, vilket kan liknas vid upplåtelser av utrymmen i fastigheter där det bedrivs säkerhetskänslig verksamhet. Den operatör som tilldelas ett frekvensutrymme kan, med hjälp av tekniska hjälpmedel, få tillgång till och påverka vad som sker i utrymmet. Tillgången till frekvensutrymmen kan alltså medföra att stora skyddsvärden exponeras och att betydande konsekvenser uppstår för Sveriges säkerhet.
Vi anser att det är av stor vikt att den typ av upplåtelser som nämnts ovan inte äger rum om de är olämpliga från säkerhetsskyddssynpunkt. Det är också mycket viktigt att säkerhetsskyddsavtal som ingås ges ett lämpligt innehåll så att rätt säkerhetsskyddsåtgärder vidtas, om upplåtelsen sker. Med hänsyn till det anförda anser vi det motiverat att komplettera regleringen med en särskild bestämmelse om vissa upplåtelser.
Behovet av samråd, förelägganden och en möjlighet att i yttersta fall förbjuda upplåtelsen finns framför allt i de situationer som tagits upp ovan, dvs. upplåtelser som kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet. Sådana situationer bör alltså träffas av regleringen. Om upplåtelsen innebär att den utomstående enbart får tillgång till säkerhetsskyddsklassificerade uppgifter, omfattas den i stället av våra överväganden under föregående rubrik.
6.8.5 Situationer som bör omfattas av den andra kontrollstationen
Av våra resonemang i det föregående framgår att vi anser att regleringen om samråd, förelägganden och förbud (den andra kontrollstationen) bör aktualiseras i tre situationer.
Den första situationen motsvarar 2 kap. 6 § första stycket 1 nya säkerhetsskyddsförordningen, med den skillnaden att regleringen inte begränsas till statliga myndigheter och inte heller till upphandlingar. Den föreslås alltså gälla vid alla slags förfaranden som kräver
224
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
att säkerhetsskyddsavtal ingås, förutsatt att motparten kan få tillgång till eller möjlighet att förvara uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetens lokaler. Eftersom vi föreslår att regleringen ska gälla för alla typer av verksamhetsutövare och även andra förfaranden än upphandling föreslår vi att man använder begreppet ”utomstående part” i stället för ”leverantör”. Detta överensstämmer med den terminologi som används i våra förslag i kapitel 5 om skyldigheten att ingå säkerhetsskyddsavtal. Vad som avses med utomstående har vi utvecklat i avsnitt 5.4.7. Den andra situationen som bör aktualisera regleringen om samråd, föreläggande och förbud handlar om upplåtelser som kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet. Denna bestämmelse saknar motsvarighet i 2 kap. 6 § nya säkerhetsskyddsförordningen.
Vi föreslår slutligen att regleringen även i fortsättningen ska gälla för vissa förfaranden som ger den utomstående parten tillgång till informationssystem utanför verksamhetsutövarens lokaler (jfr 2 kap. 6 § första stycket 2 nya säkerhetsskyddsförordningen). Även här bör dock motsvarande utvidgning av tillämpningsområdet ske, dvs. att alla slags verksamhetsutövare och alla förfaranden som kan föranleda krav på säkerhetsskyddsavtal omfattas. Vi tycker också att det finns skäl att i bestämmelsen slopa begreppet ”säkerhetskänsligt informationssystem”, eftersom det är ett begrepp som inte används någon annanstans och inte har någon legaldefinition. Som vi har anfört tidigare anser vi dessutom att begreppet inte tillför något väsentligt i sak. Vi föreslår alltså att ordet ”säkerhetskänsligt” utgår, och att man enbart talar om informationssystem.
Med utgångspunkt i syftet med säkerhetsskyddsåtgärden informationssäkerhet anser vi vidare att det finns skäl att slopa kravet på att det är just obehörig åtkomst till ett informationssystem som kan orsaka den allvarliga skadan för Sveriges säkerhet. Informationssäkerhet ska enligt 2 kap. 2 § nya säkerhetsskyddslagen förebygga
1. att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras,
görs otillgängliga, eller förstörs, och
2. skadlig inverkan i övrigt på uppgifter och informationssystem
som gäller säkerhetskänslig verksamhet.
225
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Första punkten handlar inte enbart om obehörig åtkomst utan också om att den som är behörig att få tillgång till uppgifterna obehörigen vidtar vissa åtgärder med dem, uppsåtligen eller av oaktsamhet. Andra punkten tar framför allt sikte på skyddsåtgärder för att tillgodose behov av tillgänglighet och riktighet i fråga om uppgifter och informationssystem som inte utgör eller innehåller säkerhetsskyddsklassificerade uppgifter, men som har avgörande betydelse för t.ex. styrning, reglering och övervakning av för Sverige viktiga samhällsfunktioner (prop. 2017/18:89 s. 138). Inte heller andra punkten är begränsad till obehörig åtkomst.
Med hänsyn till det anförda menar vi att det saknar betydelse om en allvarlig skada orsakas genom obehörig åtkomst, eller om åtkomsten är behörig. Det kan ju vara just det förhållandet att någon utomstående får åtkomst till informationssystemet utanför verksamhetsutövarens lokaler som gör att systemet blir sårbart, inte bara för obehörig åtkomst utan också för att i och för sig behöriga personer uppsåtligen eller av oaktsamhet vidtar åtgärder, eller underlåter att vidta åtgärder, och att detta leder till allvarlig skada för Sveriges säkerhet. Som framgått behöver skadan inte handla om ett en säkerhetsskyddsklassificerad uppgift obehörigen röjs, utan kan lika gärna handla om att en uppgift eller ett viktigt system t.ex. görs otillgängligt eller skadas.
Vi föreslår alltså att även situationer där behörig åtkomst till systemet kan leda till allvarlig skada för Sveriges säkerhet bör omfattas av den andra kontrollstationen. Utöver de skäl som anförts ovan kan det tilläggas att denna lösning är bäst förenlig med de överväganden som låg till grund för att informationssäkerhet gavs ett bredare tillämpningsområde i den nya säkerhetsskyddslagen (jfr prop. 2017/18:89 s. 68–71).
Vi noterar avslutningsvis att Utredningen om radiospektrumanvändning i framtiden (dir. 2017:99) bl.a. har till uppgift att föreslå ändringar som säkerställer nationella säkerhetsintressen vid tillståndsprövningen, inklusive möjlighet att ställa högre säkerhetskrav och att underlåta att tilldela eller att upphäva ett beslut om tilldelning av radiofrekvenser till enskilda aktörer som befaras utgöra en säkerhetsrisk. Den utredningen kan alltså komma att föreslå bestämmelser som i någon mån överlappar föreslagen i detta betänkande. Det är dock inget unikt inom området elektronisk kommunikation, utan gäller för samtliga områdesspecifika regelsystem under förutsättning
226
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
att det är fråga om verksamhet som är av betydelse för Sveriges säkerhet. Detta har vi behandlat närmare i avsnitt 6.2.1.
6.8.6 Tillsynsmyndigheterna bör ansvara för den andra kontrollstationen
Samråd och förelägganden
Samrådsskyldigheten enligt 16 a § gamla säkerhetsskyddsförordningen och 2 kap. 6 § nya säkerhetsskyddsförordningen gäller bara statliga myndigheter. Samrådsmyndighet för dessa myndigheter är antingen Försvarsmakten eller Säkerhetspolisen (39 § gamla säkerhetsskyddsförordningen och 7 kap. 1 § 1 och 2 nya säkerhetsskyddsförordningen), utifrån deras respektive tillsynsområde. Samrådsansvaret är alltså kopplat till vilken myndighet som har tillsynsansvaret.
Enligt våra förslag i det föregående bör samrådsskyldigheten inte bara gälla för statliga myndigheter utan för alla verksamhetsutövare, inklusive kommuner, landsting och enskilda aktörer. Våra förslag om hur tillsynsansvaret ska fördelas framgår av avsnitt 8.7. Förslagen går i korthet ut på att Säkerhetspolisen respektive Försvarsmakten ansvarar för tillsynen över de mest skyddsvärda myndigheterna, inklusive tillsynsmyndigheterna. Tillsynen över enskilda verksamhetsutövare och vissa myndigheter inom områden där det typiskt sett bedrivs säkerhetskänslig verksamhet fördelas mellan ett antal myndigheter med särskild kompetens på respektive område. Tillsynsansvaret för övriga verksamhetsutövare fördelas mellan fyra länsstyrelser.
När man nu ska bestämma vilken eller vilka myndigheter som ska vara ansvara för samrådet finns det enligt vår mening två tänkbara alternativ.
Det första alternativet är att varje verksamhetsutövare ska samråda med sin tillsynsmyndighet. En viktig fördel med detta alternativ är att tillsynsmyndigheterna har stor kunskap om verksamheten inom sitt tillsynsområde. En annan fördel är att det skulle innebära att samrådssansvaret fördelas på fler myndigheter, vilket skulle leda till en uppdelning av arbetsbelastningen. Alternativet är vidare väl förenligt med våra förslag i kapitel 8 om en utvecklad tillsyn, som bl.a. går ut på att tillsynsmyndigheterna ges nya undersökningsbefogenheter och en möjlighet att utfärda åtgärdsförelägganden och
227
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
fatta beslut om sanktionsavgift. Våra förslag i kapitel 8 medför att de föreslagna tillsynsmyndigheterna kommer att behöva höja sin tillsynsoch säkerhetsskyddskompetens. I linje med det framstår det som naturligt och rationellt att tillsynsmyndigheterna även ansvarar för samrådsförfarandet och de förelägganden som kan utfärdas inom ramen för det.
Det andra alternativet är att Säkerhetspolisen och Försvarsmakten ansvarar för samrådet med samtliga verksamhetsutövare, och att ansvaret fördelas mellan dem på samma sätt som deras tillsyn över tillsynsmyndigheterna enligt våra förslag i avsnitt 8.7. Detta skulle innebära att det avgörande för verksamhetsutövaren blir vilken av dessa två myndigheter som har tillsynsansvaret för den tillsynsmyndighet som verksamhetsutövaren hör till. Om en viss verksamhetsutövare ligger under tillsyn av Affärsverket svenska kraftnät, skulle verksamhetsutövaren alltså ha att samråda med Säkerhetspolisen, som föreslås ha tillsynsansvaret för Affärsverket svenska kraftnät. Det finns fördelar med en sådan lösning. Den viktigaste av dessa är att endast Försvarsmakten och Säkerhetspolisen, som ägnar sig åt underrättelseverksamhet, har den samlade bilden av bl.a. hoten mot Sveriges säkerhet och Sveriges samlade skyddsvärden. Man kan inte utgå ifrån att övriga föreslagna tillsynsmyndigheter har samma helhetsbild. Vidare krävs det stor kompetens och tillräckliga personalresurser för en effektiv och bra samrådsprocess. Sådan kompetens finns i dagsläget i högre grad hos Säkerhetspolisen och Försvarsmakten än hos övriga föreslagna tillsynsmyndigheter. En nackdel med det andra alternativet är dock att det kan innebära en kännbar ökning av arbetsbelastningen hos Försvarsmakten och Säkerhetspolisen. Vidare är det en påtaglig nackdel att dessa myndigheter inte har samma nivå av sakkunskap om verksamheten på de olika verksamhetsområdena som finns hos de föreslagna tillsynsmyndigheterna. En lösning som går ut på att Säkerhetspolisen och Försvarsmakten delar på ansvaret för alla samrådsförfaranden skulle inte heller passa särskilt väl med våra förslag om hur tillsynen bör vara ordnad och de befogenheter – däribland att utfärda förelägganden och fatta beslut om sanktionsavgift – som föreslås tillkomma tillsynsmyndigheterna i det sammanhanget.
Sammantaget anser vi att övervägande skäl talar för att samrådsansvaret och behörigheten att meddela förelägganden fördelas mellan tillsynsmyndigheterna. En förutsättning är dock enligt vår mening
228
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
att det finns en skyldighet för tillsynsmyndigheten att i vissa fall ge Säkerhetspolisen respektive Försvarsmakten tillfälle att yttra sig innan samrådet avslutas, så att deras unika kunskaper om bl.a. hotbilden vid behov kan tillföras ärendet. Vi utvecklar detta i avsnitt 6.8.10.
Förbud mot att genomföra förfaranden
Enligt 16 a § gamla säkerhetsskyddsförordningen har tillsynsmyndigheten ytterst en möjlighet att besluta att en viss upphandling inte får genomföras. Motsvarande reglering finns i 2 kap. 6 § nya förordningen. Som vi har angett tidigare är det vår bedömning att en motsvarande möjlighet bör finnas även i fortsättningen. I det här avsnittet överväger vi vilken myndighet som bör vara behörig att besluta om förbud.
Möjligheten att förbjuda ett visst förfarande är en mycket långtgående åtgärd, som får anses betydligt mer ingripande än kravet på samråd och möjligheten att meddela förelägganden. Frågan är om den omständigheten bör medföra att beslutet fattas av någon annan än respektive tillsynsmyndighet. Man kan t.ex. tänka sig att ärendena bereds av de tillsynsmyndigheter som ansvarar för samrådet, men att det slutliga beslutet om förbud fattas av Säkerhetspolisen eller Försvarsmakten, antingen på framställan av tillsynsmyndigheten eller på eget initiativ. En fördel med denna lösning är att beslutet då fattas av en av de myndigheter som har störst kunskap på säkerhetsskyddsområdet och bäst överblick över den totala hotbilden. Eftersom det får förväntas handla om ett relativt litet antal ärenden skulle det inte medföra någon påtaglig ökning av Säkerhetspolisens och Försvarsmaktens arbetsbelastning. Genom att ärendena enligt denna lösning förbereds av tillsynsmyndigheten får man ändå tillgång till dennas kunskap om verksamheten inom den aktuella sektorn.
Ett tänkbart alternativ skulle kunna vara att antingen tillsynsmyndigheten eller endera av Säkerhetspolisen eller Försvarsmakten bereder ett ärende om förbud och lägger fram det för regeringen för beslut. En sådan ordning skulle kunna gälla antingen generellt eller endast i vissa fall. Vi har dock svårt att se några större fördelar med en sådan ordning. Det är dessutom inte särskilt väl förenligt med den pågående strävan att minska det antal ärenden som kräver beslut av regeringen.
229
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Vår bedömning är att det framstår som mest rationellt att beslutet fattas av tillsynsmyndigheten. På detta sätt uppnår man samordningsvinster, eftersom tillsynsmyndigheten genom samrådsförfarandet redan är insatt i ärendet. Vi anser inte att den omständigheten att det är en ingripande åtgärd är något starkt argument för att lägga beslutsbehörigheten på Säkerhetspolisen och Försvarsmakten, eftersom dessa myndigheter inte är formellt överordnade de övriga tillsynsmyndigheterna. Vid behov kan Säkerhetspolisens respektive Försvarsmaktens unika kunskaper på området tillföras ärendet ändå. Det finns inte heller skäl att lägga beslutet på regeringen. Som kommer att framgå av våra resonemang i avsnitt 6.10.3 anser vi emellertid att besluten bör kunna överklagas till regeringen.
6.8.7 När bör samrådet aktualiseras?
En särskild fråga är vid vilken tidpunkt som verksamhetsutövaren ska vända sig till tillsynsmyndigheten för samråd. För att samrådet, inklusive möjligheten att meddela förelägganden och förbud, ska vara en verkningsfull åtgärd är det viktigt att samrådet inleds i god tid. Det är därför nödvändigt att samrådsförfarandet påbörjas innan verksamhetsutövaren inleder det förfarande som medför krav på samråd.
När det gäller den närmare tidpunkten för samrådets inledande bör förfarandet som verksamhetsutövaren planerar ses i sin helhet, och man bör alltså inte begränsa sig till de situationer som kräver att samråd inleds. Detta kan illustreras med ett exempel som avser offentlig upphandling. Om samrådet skulle aktualiseras först inför det att en leverantör får möjlighet att förvara vissa säkerhetsskyddsklassificerade uppgifter utanför verksamhetsutövarens lokaler (dvs. den första situationen som kräver att samråd inleds) skulle stora negativa konsekvenser kunna uppstå. Först då skulle det kunna visa sig att ytterligare säkerhetsskyddsåtgärder är nödvändiga, vilket innebär att den upphandlande myndigheten tvingas ställa nya krav på leverantören och göra avsteg från förfrågningsunderlaget. Det skulle också kunna visa sig att förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, med följd att den upphandlande myndigheten ådrar sig stora kostnader i förhållande till leverantören eftersom upphandlingen inte kan slutföras.
230
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
Om det planerade förfarandet avser offentlig upphandling menar vi därför att samrådet ska inledas innan upphandlingen påbörjas. En upphandling anses påbörjad när den upphandlande myndigheten har beslutat att inleda ett upphandlingsförfarande och detta beslut har kommit till kännedom utåt genom att myndigheten tagit någon form av extern kontakt i syfte att anskaffa det som beslutet avser. Att inleda konkreta avtalsförhandlingar med extern part får anses vara en sådan utåtriktad åtgärd som innebär att upphandlingsförfarandet har påbörjats (se Högsta förvaltningsdomstolens avgörande HFD 2013 ref. 31). Om det är fråga om en annan typ av förfarande som medför krav på samråd, t.ex. ett avtal som leder till att den utomstående parten får tillgång till informationssystem utanför verksamhetsutövarens lokaler, måste verksamhetsutövaren inleda och fullgöra samrådet innan ett sådant avtal ingås. Även i dessa fall är det naturligtvis lämpligt att samrådet påbörjas i ett tidigt stadium.
Genom att se det planerade förfarandet i sin helhet kan man enligt vår mening undvika att verksamhetsutövaren förbinder sig till förfaranden som under samrådet visar sig vara olämpliga från säkerhetsskyddssynpunkt.
Förfaranden som ändrar karaktär
Det kan inträffa att t.ex. ett visst samarbete ändrar karaktär efter att det påbörjats. Det kan vara så att det inte funnits någon avsikt att samarbetet skulle innehålla sådana moment som aktualiserar samrådsskyldigheten, men att det efter ett tag visar sig finnas ett sådant behov. I ett sådant fall bör det utökade samarbetet ses som ett sådant förfarande som omfattas av samrådsskyldigheten. Verksamhetsutövaren bör alltså vara skyldig att kontakta tillsynsmyndigheten för samråd innan man kan börja exempelvis låta motparten förvara säkerhetsskyddsklassificerade uppgifter i egna lokaler.
231
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
6.8.8 Vad bör samrådet och möjligheten att meddela förelägganden och förbud omfatta?
Samrådet
I den promemoria som låg till grund för 16 a § gamla säkerhetsskyddsförordningen anges det att verksamhetsutövaren vid inledande av ett samråd ska ge in ett underlag till tillsynsmyndigheten (Skärpt
kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet, Ju 2017/07544/L4 s. 28). Vidare framgår
att detta bör innehålla eventuella upphandlingsdokument med bilagor och ett utkast till säkerhetsskyddsavtal. Det angivna bör gälla även enligt den samrådsbestämmelse vi föreslår. Om det inte är fråga om en upphandling bör enligt vår mening en beskrivning av det planerade förfarandet ges in, liksom eventuell dokumentation avseende förfarandet. Närmare bestämmelser om underlaget m.m. kan lämpligen ges genom myndighetsföreskrifter.
Tillsynsmyndigheten bör, liksom enligt gällande regler, bedöma om förfarandet kräver att ytterligare åtgärder vidtas. Det kan t.ex. gälla att förbättra kravställningen i säkerhetsskyddsavtalet. Det är dock fortfarande verksamhetsutövaren som har ansvar för sina skyddsvärden och hur säkerhetsskyddet ska utformas i detalj. Det är med andra ord fråga om ett dialogförfarande. Utgångspunkten är att samrådet ska ha avslutats innan det planerade förfarandet inleds. Det innebär bl.a. att en offentlig upphandling som utgångspunkt inte får påbörjas innan samrådet har genomförts och under förutsättning att tillsynsmyndigheten inte har fattat beslut om förbud. Om tillsynsmyndigheten bedömer det som nödvändigt bör den dock kunna ge klartecken till att en upphandlingsprocess påbörjas och att samrådet ska pågå fortlöpande under upphandlingsprocessen. När tillsynsmyndigheten bedömer att syftet med samrådet har uppfyllts och att verksamhetsutövaren kan gå vidare med det planerade förfarandet bör tillsynsmyndigheten fatta ett beslut om att avsluta samrådet.
Efter att samrådet inletts och en dialog förts med tillsynsmyndigheten är en möjlig utgång att verksamhetsutövaren kommer till slutsatsen att det planerade förfarandet inte ska genomföras. Det kan exempelvis bero på att den nivå av säkerhetsskydd som krävs för förfarandet medför att kostnaden inte står i proportion till nyttan.
232
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
Förelägganden
Tillsynsmyndighetens möjlighet att inom ramen för samrådet utfärda förelägganden bör som utgångspunkt ha motsvarande innebörd som enligt den nuvarande ordningen. Det innebär att tillsynsmyndigheten bör få utfärda anvisningar i form av förelägganden till den verksamhet som planerar det förfarande som samrådet gäller. Ett föreläggande bör kunna innehålla anvisningar om vad en verksamhetsutövare behöver förbättra i fråga om säkerhetsåtgärderna informationssäkerhet, personalsäkerhet och fysisk säkerhet enligt nya säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen (jfr 2 kap. 2–4 §§ nya säkerhetsskyddslagen). Föreläggandet bör också kunna innebära att verksamhetsutövaren vid en senare tidpunkt under samrådsförfarandet ska återrapportera till tillsynsmyndigheten hur olika åtgärder har genomförts. I samrådet fyller alltså föreläggandet funktionen att beskriva vad som behöver göras för att det planerade förfarandet ska kunna genomföras. Någon möjlighet att förena förelägganden med vite bör enligt vår mening inte förekomma under samrådet. Huvudskälet för det är att samrådet är en förebyggande åtgärd där följden av att inte följa ett föreläggande är att det planerade förfarandet inte får inledas.
Det bör påpekas här att tillsynsmyndigheten, liksom verksamhetsutövaren själv, måste beakta vad upphandlingsregleringen kan innebära i fråga om möjligheterna att ställa krav i olika avseenden.
Förbud
Möjligheten att besluta att ett visst förfarande inte får genomföras bör användas restriktivt och endast när förelägganden inte följs eller säkerhetsskyddslagens krav inte kan uppfyllas trots att ytterligare åtgärder vidtas. Så kan exempelvis vara fallet om det inte är möjligt att genomföra säkerhetsprövning av personal hos motparten. Det kan också vara så att det i verksamheten förekommer säkerhetsskyddsklassificerade uppgifter av så högt skyddsvärde att det inte är lämpligt att utomstående får möjlighet att hantera dem utanför verksamhetsutövarens lokaler även med beaktande av ett väl utformat säkerhetsskyddsavtal. Ett annat exempel kan vara att den planerade motparten är ett företag som fungerar som fasad för aktörer
233
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
med antagonistiska syften, varför dess anställda eller andra som blandas in i verksamheten inte kan bedömas som pålitliga.
Vi anser att det är osäkert om de skrivningar som används i 2 kap. 6 § nya säkerhetsskyddsförordningen språkligt omfattar alla de situationer vi nyss beskrivit och där tillsynsmyndigheten bör kunna förhindra ett visst förfarande. Enligt bestämmelsen gäller att en upphandling (enligt våra förslag även andra förfaranden som träffas av reglerna) får förhindras om ett föreläggande inte följs eller om
tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas. I många fall lär det
handla om sådant som på ett tydligt sätt kan knytas till säkerhetsskyddslagens krav på säkerhetsskyddsåtgärder. Ett typexempel kan då vara att den tänkta motparten finns i ett land där det inte är möjligt att genomföra en tillfredsställande säkerhetsprövning eller att ett utländskt security clearance inte kan godtas. Det är mer osäkert om skrivningen täcker fall där förfarandet är olämpligt oavsett vilka säkerhetsskyddsåtgärder som vidtas, t.ex. för att ägarförhållandena innebär att motparten inte kan anses tillräckligt pålitlig. För att det ska stå alldeles klart att även sådana situationer omfattas av förbudsmöjligheten bör regeln uttryckas något annorlunda. Vi föreslår att möjligheten till förbud ska kunna utnyttjas om förfarandet är
olämpligt från säkerhetsskyddssynpunkt. Detta överensstämmer med
den lämplighetsprövning som vi föreslår att verksamhetsutövaren själv ska göra (se avsnitt 6.7 om den första kontrollstationen).
Som nyss sagts gäller förbudsmöjligheten bl.a. om säkerhetsskyddslagens krav inte kan tillgodoses ”trots att” ytterligare åtgärder vidtas. Vi anser att det i stället bör stå ”även om” ytterligare åtgärder vidtas. Genom denna skrivning blir det tydligare att det i vissa fall framstår som meningslöst att vidta ytterligare åtgärder, eftersom förfarandet är olämpligt oavsett. Det finns alltså både fall där det bör meddelas förelägganden och där förbud aktualiseras för att föreläggandena inte följs, och fall där det är meningslöst med förelägganden.
Tvångsåtgärder
Det kan i vissa fall finnas ett behov av att man kan tillgripa tvångsåtgärder för att syftet med förelägganden och förbud inte ska motverkas. Vi utvecklar våra överväganden och förslag om detta i ett
234
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
särskilt avsnitt (se avsnitt 6.12). Även dessa bör kunna komma till användning i samband med samrådet.
Proportionalitet
Enligt 5 § tredje stycket förvaltningslagen (2017:900), förkortad FL, får en myndighet ingripa i ett enskilt intresse endast om åtgärden kan antas leda till det avsedda resultatet. Vidare gäller ett krav på proportionalitet. Åtgärden får nämligen aldrig vara mer långtgående än vad som behövs och får vidtas endast om det avsedda resultatet står i rimligt förhållande till de olägenheter som kan antas uppstå för den som åtgärden riktas mot. Eftersom det är fråga om ett förvaltningsärende gäller dessa regler även i ärenden enligt säkerhetsskyddslagen. Vi anser dock att kravet på proportionalitet har en sådan betydelse att det uttryckligen bör framgå direkt av säkerhetsskyddslagen att förelägganden och förbud får beslutas enbart om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen. Proportionalitetskravet bör gälla även i fråga om de tvångsåtgärder som vi föreslår i avsnitt 6.12.
6.8.9 Reglerna om nödvändigt utlämnade aktualiseras i samrådet
En särskild fråga är vad som gäller i sekretesshänseende när verksamhetsutövare som omfattas av OSL lämnar över sekretessbelagda uppgifter till tillsynsmyndigheten inom ramen för samrådet. Det följer av 10 kap. 2 § OSL att sekretess inte hindrar att en uppgift lämnas till en enskild eller till en annan myndighet, om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet. Eftersom samrådet är en nödvändig förutsättning för vissa förfaranden, torde överlämnande av sekretessbelagda uppgifter till tillsynsmyndigheten inom ramen för samrådet regelmässigt rymmas inom reglerna om nödvändigt utlämnande i 10 kap. 2 § OSL.
235
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
6.8.10 Förfarandet hos tillsynsmyndigheten
Det är fråga om handläggning av ärenden enligt förvaltningslagen
Förvaltningslagen (FL) gäller för handläggning av ärenden hos förvaltningsmyndigheterna och handläggning av förvaltningsärenden hos domstolarna. I FL finns allmänna krav på handläggning av ärenden. Utgångspunkten är att samtliga handläggningsregler i lagen är tillämpliga vid all ärendehandläggning, oberoende av om ett ärende gäller myndighetsutövning mot någon enskild eller inte (prop. 2016/17:180 s. 25 och 53). Bestämmelserna i FL är subsidiära i förhållande till andra bestämmelser i lag eller förordning. Det betyder att eventuella specialbestämmelser i annan författning gäller i stället för de allmänna bestämmelserna i FL. Lagen innehåller ett undantag för handläggning av ärenden i den brottsbekämpande verksamheten hos Säkerhetspolisen (3 §). Undantaget innebär att endast bestämmelserna om grunderna för god förvaltning och grundläggande bestämmelser om allmänna krav på handläggningen ska tillämpas i den brottsbekämpande verksamheten. Vi återkommer i ett särskilt avsnitt till vad detta bör innebära i fråga om Säkerhetspolisens handläggning av samrådsärenden enligt säkerhetsskyddslagen.
Gränsen mellan vad som är handläggning av ärenden och vad som är annan förvaltningsverksamhet, alltså sådant som brukar kallas för faktiskt handlande, är i många fall ganska tydlig. En principiell skillnad är att handläggningen av ett ärende avslutas med ett beslut av något slag, medan faktiskt handlande karaktäriseras av att myndigheten i praktiken vidtar en viss faktisk åtgärd (prop. 2016/17:180 s. 24). När det gäller förslagen om förelägganden och förbud står det enligt vår mening klart att det är fråga om ställningstaganden från tillsynsmyndighetens sida som ska vara handlingsdirigerande för verksamhetsutövaren och som därmed utgör förvaltningsbeslut. Vidare anser vi att tillsynsmyndighetens bedömning att ett förfarande inte är olämpligt ur säkerhetsskyddssynpunkt, och att samrådet kan avslutas utan vidare åtgärd, är ett ställningstagande som är handlingsdirigerande. Detta medför alltså att tillsynsmyndigheternas hantering av samrådsförfarandet kommer att utgöra sådan handläggning av ärenden som medför att FL är tillämplig.
236
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
Inget behov av undantag från reglerna om partsinsyn och kommunikation
I FL finns ett antal handläggningsregler som är av betydelse för förslaget om samråd, föreläggande och förbud. En sådan regel är rätten till partsinsyn som kommer till uttryck i 10 §. Bestämmelsen innebär att den som är part i ett ärende har rätt att ta del av allt material som har tillförts ärendet med de begränsningar som följer av 10 kap. 3 § OSL.
Bestämmelserna i 10 kap. 3 § första stycket OSL reglerar vad som ska gälla vid konflikt mellan partsinsyn och sekretess (prop. 2016/17:180 s. 54). Enligt bestämmelserna hindrar inte sekretess att en enskild eller en myndighet som är part i ett mål eller ärende hos domstol eller annan myndighet, och som på grund av sin partsställning har rätt till insyn i handläggningen, tar del av en handling eller annat material i målet eller ärendet. En sådan handling eller ett sådant material får dock inte lämnas ut till parten i den utsträckning det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att en sekretessbelagd uppgift i materialet inte röjs. I sådana fall ska myndigheten på annat sätt lämna parten upplysning om vad materialet innehåller i den utsträckning det behövs för att parten ska kunna ta till vara sin rätt och det kan ske utan allvarlig skada för det intresse som sekretessen ska skydda.
En förutsättning för att 10 kap. 3 § OSL ska aktualiseras är alltså att det är fråga om ett ärende eller mål där det finns sekretessreglerade uppgifter för vilka sekretess gäller i det enskilda fallet. Det är enligt vår mening rimligt att anta att ärenden om samråd, föreläggande och förbud kan komma att innehålla sekretessbelagda uppgifter av mycket känslig natur. Det kan t.ex. handla om underrättelseuppgifter som har lämnats av en annan stat med förbehåll att de inte får lämnas vidare. Det kan också handla om uppgifter som direkt eller indirekt ger ledning om metoder och källor för svenska myndigheters underrättelsearbete. Vidare kan det förekomma uppgifter som beskriver skyddsvärden som ingår i förfaranden som prövas i samrådet. Man kan dock tänka sig att många ärenden kommer att inrymma uppgifter av mer teknisk karaktär, så som vilken typ av säkerhetsskyddsåtgärd som är nödvändig för att uppnå ett väl anpassat säkerhetsskydd i det planerade förfarandet.
237
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Även om en inte obetydlig del av uppgifterna i ärenden om samråd, föreläggande och förbud kan antas vara mindre känsliga är vår bedömning att det i vissa ärenden kan finnas uppgifter som är så känsliga att de inte under några förhållanden bör komma parten till del. Sådana uppgifter torde många gånger omfattas av t.ex. utrikeseller försvarssekretess enligt 15 kap. 1 § respektive 2 § OSL, eller förundersökningssekretess enligt 18 kap. 1 § OSL.
Frågan är då om bestämmelserna i 10 kap. 3 § första stycket OSL på ett tillfredsställande sätt balanserar partsinsynen och skyddsintresset för den typ av sekretessbelagda uppgifter som typiskt sett ingår i samrådet, eller om det är nödvändigt att med stöd av paragrafens tredje stycke göra undantag från bestämmelsen.
En förutsättning för att säkerhetsskyddslagen över huvud taget ska vara tillämplig är att det är fråga om verksamhet som är av betydelse för Sveriges säkerhet.
15
Redan denna avgränsning klargör
alltså att det är fråga om verksamheter, liksom uppgifter om verksamheter, som rör tungt vägande allmänna intressen. I ärenden om samråd, föreläggande och förbud kan det t.ex. vara fråga om uppgifter vars röjande medför att kritiska samhällsfunktioner äventyras och att Sveriges säkerhet därigenom hotas. Enligt vår mening är det svårt att föreställa sig ett tyngre vägande allmänt intresse än just verksamheter som är av betydelse för Sveriges säkerhet. Vi anser därför att en tillämpning av bestämmelserna i 10 kap. 3 § första stycket OSL regelmässigt skulle resultera i bedömningen att det är av synnerlig vikt att sekretessbelagda uppgifter av den karaktär som nu exemplifieras inte röjs och därmed inte lämnas ut till parten. Det innebär dock inte att alla uppgifter som förekommer i ärenden om samråd, föreläggande och förbud kan eller bör bedömas på detta sätt. Vi bedömer däremot att kravet på synnerlig vikt i 10 kap. 3 § första stycket OSL på ett rimligt sätt balanserar partsinsynen och skyddsintresset i den typ av ärenden som nu diskuteras.
Vår bedömning i föregående stycke stöds av två avgöranden som rör utrikes- och försvarssekretess.
Kammarrätten i Jönköpings mål nr 3117–15 gällde rätten att som part i ett ärende hos Kriminalvården få del av uppgift om myndighetens särskilda system för kontrollerad telefoni för intagna. Kammarrätten anförde att Kriminalvårdens verksamhet är en sådan civil verksamhet
15 Lagen gäller även för den som till någon del bedriver verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
238
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
som behövs under krigsförhållanden för att upprätthålla viktiga samhällsfunktioner, att verksamheten får anses ingå i totalförsvaret samt att uppgifterna rör totalförsvaret och därmed omfattas av sekretess enligt 15 kap. 2 § OSL. I sak bedömde kammarrätten att det var av synnerlig vikt att ett system som används av samtliga anstalter och häkten fungerar utan att det finns möjlighet att kartlägga och utnyttja detsamma på ett otillbörligt sätt, varför det av hänsyn till allmänt intresse var av synnerlig vikt att uppgifterna inte lämnades ut.
Högsta förvaltningsdomstolens avgörande RÅ 84 2:94 gällde en utländsk medborgares begäran att få del av uppgifter som förekom i ett avvisningsärende. Uppgifterna hade skickats från en svensk ambassad till dåvarande Invandrarverket och innehöll identiteten på uppgiftslämnare till svenska diplomater. Högsta förvaltningsdomstolen uttalade att det allvarligt kunde skada Sverige om identiteten på uppgiftslämnare röjdes. Vid en avvägning mellan den utländska medborgarens intresse och de intressen som utrikessekretessen skyddar bedömde Högsta förvaltningsdomstolen att det var av synnerlig vikt att den begärda uppgiften inte lämnades.
Enligt 10 kap. 3 § tredje stycket är det tillåtet att föreskriva om undantag från bestämmelsens första och andra stycke. Att föreskriva om ett sådant undantag skulle förvisso säkerställa att de mest känsliga uppgifterna inte lämnades ut till parten. Beroende på hur ett sådant undantag utformas finns det dock en risk för att undantaget träffar för brett, vilket skulle försvåra partens möjligheter att tillvarata sin rätt i ärendet. Den grundläggande rättsprincipen att en part i ett ärende eller mål har rätt till full insyn i de förhållanden som kan läggas till grund för en myndighets avgörande bör upprätthållas så långt det går, med beaktande av de tungt vägande intressen som finns i andra vågskålen. Sammantaget bedömer vi att det inte har framkommit tillräckliga skäl för att med stöd av 10 kap. 3 § OSL tredje stycket göra undantag från bestämmelsen. Partsinsynen i ärenden om samråd, föreläggande och förbud bör därför gälla så som den kommer till uttryck i 10 § FL.
I 25 § FL finns bestämmelser om kommunikation. Reglerna går ut på att myndigheten som handlägger ärendet ska underrätta den som är part om allt material av betydelse för beslutet och ge parten tillfälle att inom en bestämd tid yttra sig över materialet. Detta ska göras innan myndigheten fattar beslut i ärendet. Under vissa förut-
239
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
sättningar som inte nu är aktuella behöver myndigheten inte underrätta parten. Underrättelseskyldigheten gäller med de begränsningar som följer av 10 kap. 3 § OSL. Förhållandet mellan reglerna om kommunikation och sekretess motsvarar alltså förhållandet mellan partsinsyn och sekretess som vi har behandlat ovan. Av samma skäl som anförts ovan när det gäller partsinsyn bedömer vi att det inte har framkommit skäl för att med stöd av 10 kap. 3 § OSL tredje stycket göra undantag från bestämmelsen om kommunikation.
Behov av undantag från vissa av reglerna om försenad handläggning
Enligt 12 § FL har en enskild part möjlighet att begära att myndigheten ska avgöra ett ärende som den handlägger i första instans. Den enskilda parten har också möjlighet att få beslutet om avslag på en sådan begäran prövat i högre instans. Bestämmelsen är ny och har tillkommit för att ge enskilda bättre möjligheter att påskynda slutliga avgöranden i vissa förvaltningsärenden som drar ut oskäligt länge på tiden (prop. 2016/17:180 s. 114).
Det är enligt vår mening rimligt att anta att systemet med samråd, föreläggande och förbud kan komma att ta tid att etablera hos tillsynsmyndigheterna och att det inledningsvis kan handla om handläggningstider som är längre än vad som kan förväntas efter att systemet varit på plats ett tag. Det bör också tas i beaktande att samrådet, till skillnad från det typiska förvaltningsärendet, kan inrymma dialog, beslut om förelägganden, förelägganden som ska efterkommas och förnyade bedömningar av tillsynsmyndigheten i frågan om det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt. Detta medför enligt vår mening att samrådet kan komma att ta längre tid att genomföra än många andra förvaltningsärenden. Vidare ger 12 § FL en möjlighet till överprövning om myndigheten avslår begäran att ärendet ska avgöras, vilket alltså medför att ytterligare en instans kan komma att hantera de känsliga uppgifter som kan förekomma i ett samrådsärende (jfr prop. 2008/09:201 s. 46 om en liknande frågeställning när det gäller försvarsunderrättelseverksamhet).
240
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
Vår bedömning är att bestämmelserna i 12 § FL inte lämpar sig för den särskilda typ av ärende som samrådsförfarandet är och att bestämmelsernas tillämpning skulle skapa onödig komplexitet. Enligt vår mening är det därför nödvändigt att göra undantag från 12 § FL i ärenden om samråd, förelägganden och förbud. Detta innebär inte att tillsynsmyndigheten kan bortse ifrån det grundläggande kravet att alla ärenden ska handläggas så enkelt, snabbt och kostnadseffektivt som möjligt utan att rättssäkerheten eftersätts (9 § första stycket FL).
Eftersom ovanstående förslag i någon mån innebär en begränsning av de rättigheter som generellt gäller för enskilda i förvaltningsförfarandet bör bestämmelsen om undantag från 12 § FL placeras i lag (prop. 2016/17:180 s. 42).
Inget behov av undantag från reglerna om motivering av beslut
I 32 § FL finns bestämmelser om hur beslut ska motiveras. Utgångspunkten är att beslut som kan antas påverka någons situation på ett inte obetydligt sätt ska innehålla en klargörande motivering, om det inte är uppenbart obehövligt. Motiveringen ska innehålla uppgifter om vilka föreskrifter som har tillämpats och vilka omständigheter som har varit avgörande för myndighetens ställningstagande. Beroende på vad tillsynsmyndighetens beslut grundas på kan alltså denna paragraf komma att påverka i vilken mån känsliga uppgifter i ärendet blir kända genom att tas in i ett beslut.
Enligt 32 § andra stycket 3 FL finns dock möjlighet för myndigheten att helt eller delvis utelämna en motivering om det är nödvändigt med hänsyn till rikets säkerhet, skyddet för enskildas personliga eller ekonomiska förhållanden eller något annat jämförbart förhållande. Eftersom nya säkerhetsskyddslagen gäller för verksamheter som är av betydelse för Sveriges säkerhet bedömer vi att bestämmelsen torde ge ett tillräckligt utrymme för att utelämna beslutsmotiveringar som innehåller uppgifter om säkerhetskänslig verksamhet. Mot bakgrund av att motiveringar också får utelämnas om det är nödvändigt för skyddet av enskildas personliga eller ekonomiska förhållanden, eller något annat jämförbart förhållande, gör vi bedömningen att utrymmet för att helt eller delvis utelämna besluts-
241
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
motiveringar i ärenden om samråd, föreläggande och förbud är tillräckligt. Vi ser alltså inte att det har framkommit skäl för att göra undantag från motiveringsplikten i 32 § FL.
Säkerhetspolisens och Försvarsmaktens möjlighet att yttra sig
Säkerhetspolisen eller Försvarsmakten är de enda myndigheter som har en helhetsbild när det gäller säkerhetsläget och hotbilden mot Sverige. Frågan är hur sådana kunskaper kan tillföras samrådsärenden som handläggs av andra tillsynsmyndigheter när det behövs.
En första möjlighet är att Säkerhetspolisen eller Försvarsmakten åläggs en skyldighet att yttra sig i samrådsärenden. Vi anser att någon sådan skyldighet inte är befogad, eftersom det får antas att dessa myndigheter i de flesta fall inte har något att tillföra. En skyldighet att yttra sig skulle därför innebära en omotiverad ökning av deras arbetsbelastning.
En annan möjlighet är att den tillsynsmyndighet som handlägger ärendet åläggs en skyldighet att ge Försvarsmakten eller Säkerhetspolisen tillfälle att yttra sig inom viss tid. De sistnämnda myndigheterna kan då välja om ett yttrande ska avges eller inte. Vi anser att en sådan skyldighet bör finnas åtminstone i de fall det är som mest angeläget att Försvarsmaktens respektive Säkerhetspolisens kunskap om bl.a. hotbilden kan tillföras ett samrådsärende.
Den reglering som vi föreslår inom ramen för den andra kontrollstationen syftar ytterst till att man ska kunna förhindra förfaranden som är olämpliga från säkerhetsskyddssynpunkt. Det kan finns ärenden där tillsynsmyndigheten planerar att avsluta samrådsärendet utan vidare åtgärd – vilket leder till att verksamhetsutövaren kan inleda förfarandet – men där Säkerhetspolisen eller Försvarsmakten har tillgång till information som i stället skulle kunna leda till bedömningen att förfarandet ska förbjudas. Det är angeläget att Säkerhetspolisen respektive Försvarsmakten ges tillfälle att bidra med sådan information i dessa situationer. Det bör därför finnas en skyldighet för tillsynsmyndigheten att ge Säkerhetspolisen eller Försvarsmakten tillfälle att yttra sig i ärendet, i de fall där tillsynsmyndigheten planerar att avsluta samrådet och inte avser att förbjuda förfarandet. Möjligheten bör erbjudas till den av Säkerhetspolisen eller Försvarsmakten som är tillsynsmyndighet för den tillsynsmyndighet
242
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
som håller i samrådet. Vi ser däremot inte tillräcklig anledning från säkerhetsskyddssynpunkt att ställa krav på tillsynsmyndigheten att ge Säkerhetspolisen eller Försvarsmakten tillfälle att yttra sig i de fall där man överväger ett föreläggande eller förbud mot förfarandet.
Tillsynsmyndigheten får avstå när ett yttrande är uppenbart obehövligt
Det bör finnas en möjlighet att avstå från att lämna tillfälle till yttrande om det är uppenbart obehövligt. Ett typexempel på det kan vara att tillsynsmyndigheten har haft löpande kontakt med Säkerhetspolisen eller Försvarsmakten i ärendet och att det framstår som uppenbart att ett yttrande inte skulle tillföra något av värde. Ställningstagandet att inte ge tillfälle till yttrande bör dokumenteras i ärendet för att det i efterhand ska vara möjligt att följa ärendets gång och tillsynsmyndighetens överväganden.
Yttrandet påverkar inte självständigheten
Slutligen kan det understrykas att syftet med att låta Säkerhetspolisen och Försvarsmakten yttra sig är att ge bättre beslutsunderlag för tillsynsmyndigheten. Ett eventuellt yttrande medför ingen ändring när det gäller tillsynsmyndighetens självständighet i ärenden om samråd, föreläggande och förbud.
Bestämmelsen kan placeras i förordning
Eftersom den bestämmelse som vi föreslår reglerar tillsynsmyndighetens handläggning kan den lämpligen placeras i förordning.
Säkerhetspolisens handläggning av samrådsärenden
Vi har i det föregående fört resonemang om FL och handläggningen av samrådsärendena. Emellertid finns det särskilda frågor kring handläggningen hos Säkerhetspolisen. Orsaken till detta är att merparten av FL:s bestämmelser inte gäller vid handläggning av ärenden i den brottsbekämpande verksamheten hos bl.a. Säkerhetspolisen. Enligt
243
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
undantagsbestämmelsen, som finns i 3 § FL, tillämpas endast bestämmelserna om grunderna för god förvaltning och vissa av bestämmelserna om allmänna krav på handläggningen av nyssnämnda ärenden. Paragrafen hindrar dock inte att de myndigheter som omfattas av undantaget också tillämpar lagens övriga bestämmelser, om myndigheterna bedömer att det är lämpligt och något annat inte är särskilt föreskrivet i en specialförfattning.
I förarbetena till FL utvecklas vad som avses med uttrycket
brottsbekämpande verksamhet (prop. 2016/17:180 s. 30–33 och 287).
Där framgår bl.a. följande. Med brottsbekämpande verksamhet avses verksamhet som syftar till att förebygga, förhindra eller upptäcka brottslig verksamhet eller utreda och beivra brott. Därutöver omfattas verksamhet hos polisen som syftar till att förebygga störningar av den allmänna ordningen eller säkerheten och att övervaka den allmänna ordningen och säkerheten samt ingripa när en störning har inträffat, jfr 2 § polislagen (1983:387). Det är den faktiska brottsbekämpande verksamheten som omfattas. Med brottsbekämpande verksamhet avses inte exempelvis personalärenden och ärenden om utlämnande av allmänna handlingar. Undantaget gäller även i fråga om sådana ärenden som handläggs av Säkerhetspolisen inom ramen för utlännings- och medborgarskapslagstiftningen.
Undantaget kom ursprungligen till för att man ville undanta handläggning av ärenden som nära anknöt till rättegången i allmän domstol och ärenden i förfaranden som kan mynna ut i, vara en följd av eller på annat sätt anknyta till rättegången (prop. 1970:30 del 2 s. 306 och 323). I propositionen till nya FL konstaterade regeringen bl.a. att det i rättegångsbalken och annan lagstiftning finns bestämmelser som ofta ställer strängare och mer detaljerade krav än vad som följer av FL (prop. 2016/17:180 s. 32 och 33). Man valde därför att behålla undantaget i den nya lagen. Om det finns behov av att ytterligare stärka rättssäkerheten för misstänkta i brottmålsförfarandet borde detta enligt regeringen lämpligen ske genom ändringar i rättegångsbalken och anslutande författningar i stället för genom förvaltningslagens allmänna reglering. Detta ansågs gälla också i fråga om enskildas ställning i spanings- och underrättelseverksamheten hos polisen och andra brottsbekämpande myndigheter och i fråga om sådana ärenden som handläggs av Säkerhetspolisen i verksamhet inom ramen för utlännings- och medborgarskapslagstiftningen.
244
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
Överväganden
Frågan är då om Säkerhetspolisens verksamhet inom säkerhetsskydd faller inom förvaltningslagens undantag för brottsbekämpande verksamhet. Någon närmare ledning i frågan finns inte i förarbetena. Det kan dock konstateras att säkerhetsskydd enligt 1 kap. 2 § första stycket nya säkerhetsskyddslagen avser skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Detta ger vid handen att åtminstone merparten av säkerhetsskyddet avser brottsbekämpande verksamhet.
Även bestämmelserna i polisdatalagen (2010:361) ger stöd åt en sådan tolkning. Polisdatalagen är tillämplig på brottsbekämpande verksamhet vid Säkerhetspolisen (1 kap. 2 § 2). I 6 kap. 1 § samma lag anges att personuppgifter får behandlas i Säkerhetspolisens brottsbekämpande verksamhet om det behövs för att fullgöra uppgifter enligt säkerhetsskyddslagen. I princip all personuppgiftsbehandling inom säkerhetsskyddet bedrivs i praktiken med stöd av denna bestämmelse. Det kan också konstateras att Säkerhets- och integritetsskyddsnämnden, som utövar tillsyn över Säkerhetspolisens personuppgiftsbehandling enligt polisdatalagen, har ansett sig behörig att granska personuppgiftsbehandlingen inom hela verksamhetsområdet säkerhetsskydd.
Av det anförda drar vi slutsatsen att Säkerhetspolisens uppgifter enligt säkerhetsskyddslagen utgör en form av brottsbekämpning som omfattas av undantaget i FL. Detta ger upphov till frågan om vad som bör gälla för handläggningen av samrådsärendena. Såvitt vi kan bedöma finns det ingen annan reglering som är direkt tillämplig. Det handlar inte om förundersökning eller något annat förfarande där rättegångsbalken gäller, och inte heller om någon sådan brottsförebyggande åtgärd som är särskilt reglerad. Det kan diskuteras om det är tillfredsställande att det saknas regler på centrala punkter, t.ex. i fråga om partsinsyn och kommunikation. Detta gäller särskilt som det är fråga om ett förfarande som kan leda till inskränkningar i enskildas rättigheter.
En möjlig lösning är man föreskriver att undantaget i 3 § FL inte gäller vid handläggningen av samrådsärenden hos Säkerhetspolisen. Detta skulle innebära att FL ska tillämpas, om det inte finns någon avvikande bestämmelse i någon annan lag eller förordning (se 4 §
245
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
FL). En sådan ordning skulle skapa en stadga och förutsebarhet i förfarandet som är önskvärd. De problem som kan uppstå i fråga om behov av att hemlighålla vissa uppgifter, ibland även för verksamhetsutövaren, torde kunna hanteras i enlighet med våra resonemang tidigare i detta avsnitt.
En annan lösning är att Säkerhetspolisen får tillämpa FL analogt när det är lämpligt. Detta är mindre tillfredsställande ur verksamhetsutövarens perspektiv, men har samtidigt den fördelen att det finns större flexibilitet för Säkerhetspolisen, t.ex. när det gäller vilka uppgifter man delar med sig av.
Även om det finns vissa fördelar med att Säkerhetspolisen själv bestämmer vilka av FL:s regler som ska tillämpas är det vår bedömning att en sådan ordning inte är tillfredsställande. Det handlar om ärenden som rör myndighetsutövning mot enskilda, och om beslut som ska kunna överklagas (se avsnitt 6.10). Det är därför viktigt att det finns tydliga regler om handläggningen och överklagandefrister m.m. De skäl som i förarbetena anförts som grund för att FL inte ska tillämpas på den brottsbekämpande verksamheten gör sig inte gällande med någon större styrka vid hanteringen av samrådsärendena. Det är inte fråga om hantering som ligger nära eller kan utmynna i process i allmän domstol och det finns inte någon annan reglering som ger de nödvändiga rättssäkerhetsgarantierna. Dessutom skulle det enligt vår mening framstå som inkonsekvent om FL tillämpades i Försvarsmaktens handläggning men inte i Säkerhetspolisens. Med hänsyn till det anförda föreslår vi att undantaget 3 § FL inte ska gälla vid Säkerhetspolisens handläggning av samrådsärenden. Det är tillräckligt att bestämmelsen ges i förordning.
Förelägganden bör kunna gälla omedelbart
Om det behövs bör tillsynsmyndigheten kunna bestämma att ett beslut om föreläggande ska gälla omedelbart.
6.8.11 Tillsynsmyndigheten bör kunna initiera ett samråd
Våra förslag rörande den första och andra kontrollstationen bygger på att verksamhetsutövaren har ansvaret för säkerhetsskyddet även i samband med en utkontraktering eller ett annat förfarande där
246
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
utomstående involveras i den säkerhetskänsliga verksamheten. Man bör kunna utgå ifrån att risken för att drabbas av sanktioner för den som inte samråder (se våra förslag i kapitel 9) är så pass avskräckande att det blir ovanligt att verksamhetsutövare inleder samrådspliktiga förfaranden utan att samråda. Det kan trots det inte uteslutas att detta kan inträffa i enstaka fall. Enligt bestämmelserna i 2 kap. 6 § nya säkerhetsskyddsförordningen finns det inte någon möjlighet för tillsynsmyndigheten att på eget initiativ initiera ett samråd och att i samband med det kunna ingripa med alla de åtgärder som står till buds i ett samråd som verksamhetsutövaren har initierat. Vi anser att en sådan möjlighet är nödvändig för att det inte ska finns några situationer där det saknas möjlighet att ingripa mot olämpliga förfaranden. Vi föreslår därför att även tillsynsmyndigheten ska ha möjlighet att ta initiativ till ett samråd och att då använda sig av möjligheterna till föreläggande och förbud samt tvångsåtgärder enligt våra förslag i avsnitt 6.12.
6.9 En tredje kontrollstation – möjligheter för tillsynsmyndigheterna att ingripa i efterhand
Förslag: Det införs i nya säkerhetsskyddslagen bestämmelser
med följande innebörd om möjligheter att ingripa i ett pågående förfarande. Om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal är olämpligt från säkerhetsskyddssynpunkt, får tillsynsmyndigheten förelägga verksamhetsutövaren och den utomstående parten i förfarandet att vidta de åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Föreläggandet kan bl.a. innebära ett krav på att hela eller delar av förfarandet ska upphöra. Ett föreläggande får bara beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen. Föreläggandet får förenas med vite.
247
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
6.9.1 Det bör införas en möjlighet att ingripa under ett pågående förfarande
Kravet på samråd och möjligheter att besluta om förelägganden och förbud i vissa fall utgör enligt vår mening kraftfulla förebyggande åtgärder. Genom dessa åtgärder bör det i princip skapas en garanti mot att upphandlingar och andra förfaranden som träffas av regleringen genomförs fastän säkerhetsskyddslagens krav inte är uppfyllda.
Det finns dock situationer där de åtgärder som vi föreslagit i avsnitt 6.8 inte framstår som tillräckliga. En sådan situation är att förhållandena ändras efter det att förfarandet redan har inletts. Det kan t.ex. handla om att förhållandena ändras efter att ett affärs- eller samverkansavtal har träffats. Exempel på sådana fall kan vara att säkerhetskänsliga verksamheter ändrar karaktär, hotbilder förändras eller att den tekniska utvecklingen ändrar förutsättningarna. En annan situation som inte hanteras genom våra förslag om samråd m.m. är att de förhållanden som innebär att förfarandet är olämpligt från säkerhetsskyddssynpunkt var okända vid tiden för samrådet. Detta kan förväntas vara en ovanlig situation, men man kan t.ex. tänka sig att ett företag som bedömts som pålitligt senare visar sig vara en bulvan för någon aktör med känt antagonistiska syften. En tredje situation är att den lämplighetsprövning som gjorts visar sig vara felaktig. Det kan då handla om ett förfarande som inte omfattas av samrådsskyldigheten. I ett sådant fall är det verksamhetsutövarens bedömning som visar sig ha varit oriktig. Men man kan också tänka sig att tillsynsmyndigheten i enstaka fall visar sig ha gjort en felaktig bedömning i samband med samrådet.
Frågan är då om det behöver införas någon möjlighet att ingripa i efterhand, vem som ska vara behörig att ingripa, när denna möjlighet i så fall ska kunna tillgripas och vad möjligheten ska gå ut på. Saken kan inte bedömas för sig själv, utan måste betraktas i ljuset av våra övriga förslag. Frågan bör också betraktas i ljuset av verksamhetsutövarens kontraktuella förpliktelser och risken för negativa konsekvenser i form av avtalsvite eller kontraktuellt skadestånd om det skapas en möjlighet att ingripa på så sätt att ett redan påbörjat förfarande avbryts. Den bör slutligen också betraktas i ljuset av kravet på att verksamhetsutövaren genomför uppföljning under avtalstiden (se vidare i avsnitt 6.11).
248
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
En reglering som i vissa avseenden liknar det som nu diskuteras finns i den norska sikkerhetsloven (2 kap. 5 a § lov om forebyggende sikkerhetstjeneste). Enligt bestämmelsen ska en verksamhetsutövare som får vetskap om en planerad eller pågående aktivitet som kan medföra en icke obetydlig risk för att säkerhetshotande verksamhet etableras eller genomförs anmäla detta till departementet. Regeringen (Kongen i statsråd) kan sedan ta nödvändiga beslut att hindra en planlagd eller pågående aktivitet. Det kan t.ex. röra sig om att neka byggnadstillstånd eller frekvenstillstånd eller hindra uppköp som skulle kunna ge en aktör direkt eller indirekt tillgång till att utföra säkerhetshotande verksamhet. Besluten ska ses som en säkerhetsventil och användas i undantagsfall. Bestämmelsen utgår från att regeringen är den högsta nivån inom förvaltningen och bygger alltså på en kombination av en anmälningsplikt och en möjlighet för regeringen att i undantagsfall vidta åtgärder för att hindra den säkerhetshotande verksamheten.
16
En möjlighet att ytterst tvinga fram ett avslut av ett affärsförhållande eller något annat slags samarbete eller samverkan är förenad med nackdelar. Potentiella leverantörer och andra kan förväntas ta höjd för risken på olika sätt, främst på så sätt att avtal blir dyrare. Risken för ingripande kan också leda till att potentiella leverantörer och andra avstår från att lämna anbud eller inleda olika samarbeten. Det kan alltså uppstå negativa effekter när det gäller tjänstetillgången och möjligheten att hitta samarbetspartner, särskilt privata sådana.
Trots de nackdelar som beskrivits i förra stycket är det vår bedömning att det är nödvändigt att införa regler om en säkerhetsventil som gör det möjligt att i någon ordning ingripa mot en pågående utkontraktering eller något annat pågående förfarande. Det är nämligen inte acceptabelt att det inte är möjligt att ingripa mot ett förfarande som kan orsaka skador för Sveriges säkerhet.
16 Prop. 97L (2015–2016) Endringer i sikkerhetsloven (reduksjon av antall klareringsmyndig-
heter mv) s. 14–21.
249
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
6.9.2 Ingripandet bör ha formen av ett föreläggande
Enskildas rättigheter berörs ofta
En viktig utgångspunkt för våra överväganden om en möjlighet att ingripa i efterhand är att det många gånger är fråga om ett ingrepp i enskildas rättigheter och att det därför krävs noggranna överväganden om behov och proportionalitet. Detta innebär till att börja med att ingripandet bara bör få ske när det är befogat med hänsyn till de intressen som står på spel. Det innebär också att ingripandet inte bör få vara mer långtgående än som krävs i det enskilda fallet. Ju trubbigare och mer ingripande rättsmedel det är fråga om, desto högre krav måste ställas för att det ska få tillgripas. Om rättsmedlet i stället utformas på ett sätt som innebär att det kan anpassas till behoven i det enskilda fallet, bör kraven kunna sättas lägre. Frågan om när möjligheten att ingripa ska få användas har alltså ett nära samband med frågan om hur åtgärden ska utformas. Vi börjar därför med den sistnämnda frågan.
Behoven bör styra utformningen av rättsmedlet
Diskussionen handlar om åtgärder för att ingripa mot ett förfarande som på något sätt är påbörjat och pågående. Det kan t.ex. handla om en pågående utkontraktering, upplåtelse eller samverkan. En första fråga är om vilka ingripandemöjligheter det finns behov av. Detta påverkar i sin tur hur rättsmedlet bör utformas. Enligt vår uppfattning kan behoven variera från fall till fall. I en del fall kan det t.ex. vara så att ett visst samarbete har blivit olämpligt i sin helhet på grund av något ändrat förhållande. I ett sådant fall kan man behöva en möjlighet att sätta stopp för hela förfarandet. I andra fall kan det vara så att t.ex. en utkontraktering är lämplig i huvudsak, men att det är olämpligt att vissa särskilt känsliga säkerhetsskyddsklassificerade uppgifter hanteras av leverantören. I ett sådant fall kan det vara tillräckligt med en möjlighet att se till att verksamhetsutövaren återtar kontrollen över just dessa uppgifter, men att förfarandet i övrigt kan fortgå som tänkt. Med hänsyn till det som sades inledningsvis om kraven på behov och proportionalitet, bör ingripandemöjligheten utformas på ett sådant sätt att båda dessa situationer kan hanteras. Det bör alltså aldrig vara nödvändigt att tillgripa en mer ingripande
250
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
åtgärd än som i det enskilda fallet är nödvändigt från säkerhetsskyddssynpunkt.
Förelägganden har stora fördelar
Vi har övervägt hur man på bästa sätt kan utforma en reglering så att den svarar mot de behov av ett nyanserat och samtidigt kraftfullt ingripande som vi har beskrivit i det föregående. Vi har kommit fram till att det finns stora fördelar med en möjlighet att ingripa genom förelägganden som riktas mot verksamhetsutövaren eller motparten i förfarandet. Ett sådant föreläggande skulle kunna anpassas till just det behov av ingripande som finns i det aktuella fallet. Om det finns skäl att förhindra hela förfarandet, t.ex. att avbryta en pågående utkontraktering helt och hållet, skulle föreläggandet kunna ges detta innehåll. Men om det är tillräckligt med ett mer begränsat ingripande är det också möjligt, t.ex. genom att verksamhetsutövaren föreläggs att återta bara vissa arbetsuppgifter, att exkludera vissa frågor från ett samarbete eller att revidera säkerhetsskyddsavtalet. Förutsatt att föreläggandena är tillräckligt effektiva, anser vi att detta skulle kunna vara ett kraftfullt och samtidigt flexibelt sätt att ingripa mot förfaranden som helt eller delvis är sådana att de medför sårbarheter för Sveriges säkerhet. Föreläggandenas effektivitet torde till stor del bero på om de kan förenas med ett tillräckligt kännbart vite.
Sammantaget anser vi att mycket talar för att möjligheten att ingripa i efterhand bör ges formen av förelägganden som anpassas till behoven i det aktuella fallet. Förutom det som redan anförts kan det tilläggas att en sådan möjlighet passar väl in i det system som vi i övrigt föreslår ska gälla i fråga om ingripanden mot verksamhetsutövare (se bl.a. våra förslag om åtgärdsförelägganden i avsnitt 8.11). Att förelägganden kan riktas inte bara mot verksamhetsutövare utan också mot motparten i förfarandet framstår som nödvändigt för att föreläggandena ska vara tillräckligt effektiva. Vi anser vidare att detta är godtagbart mot bakgrund av att det handlar om situationer där motparten har, eller borde ha, ingått ett säkerhetsskyddsavtal. Den som har ingått säkerhetsskyddsavtal får underkastas tillsyn såväl enligt gällande rätt som enligt våra förslag i avsnitt 8.8. Enligt våra förslag innebär det bl.a. att en sådan part kan bli föremål för åtgärds-
251
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
förelägganden från tillsynsmyndigheten (se avsnitt 8.11). Vi bedömer det därför som både lämpligt och rimligt att eventuella förelägganden kan riktas både mot verksamhetsutövaren och dennes motpart i förfarandet.
Andra alternativ är mindre lämpliga
Vi har även övervägt andra alternativ men kommit fram till att dessa är mindre lämpliga. Ett alternativ som vi övervägt är att man inför regler som innebär att ett visst avtal eller annat rättsförhållande under vissa förhållanden är ogiltiga. Liknande bestämmelser finns bl.a. på konkurrensrättens område, se 2 kap.1 och 3 §§konkurrenslagen (2008:579). Där anges det att ett avtal eller avtalsvillkor är ogiltigt om ett avtal mellan företag har till syfte eller resultat att hindra, begränsa eller snedvrida konkurrensen på marknaden på ett märkbart sätt. Vi ser dock betydande problem med en lösning som bygger på ogiltighet. Först och främst medger den inte den flexibilitet som vi anser nödvändig och som är förknippad med ett system med förelägganden. Det är en trubbig lösning som bara möjliggör ”allt eller inget”. En sådan ordning väcker också en rad frågor om själva förfarandet, om verkställighet m.m. Man kan även diskutera om en sådan lösning verkligen framtvingar ett avslut på t.ex. ett visst samarbete. För att en lösning som enbart medger ogiltighet ska kunna vara möjlig måste man vidare lägga tröskeln för dess tillämplighet högt. I annat fall blir det en oproportionerlig inskränkning av enskildas rättigheter.
Vår bedömning
Vår bedömning är att de skäl som kan anföras till stöd för den första lösningen, dvs. att den tredje kontrollstationen utgörs av en möjlighet att utfärda vitessanktionerade förelägganden, väger klart tyngre än de skäl som kan tala för de övriga lösningar som vi har övervägt. Vi föreslår alltså att den tredje kontrollstationen ska bestå i en möjlighet att meddela sådana förelägganden. Även om det normalt är önskvärt att det klart framgår vad förelägganden kan komma att gå ut på är det enligt vår mening inte möjligt att specificera detta i lagtexten i dessa fall. Det väsentliga är att föreläggandet syftar till att
252
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
förmå verksamhetsutövaren att vidta åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Föreläggandet bör kunna ges den utformning som är nödvändig och lämplig i det enskilda fallet. Denna bristande förutsebarhet får, enligt vår mening, accepteras när det handlar om Sveriges säkerhet och skyddet för de allra mest skyddsvärda verksamheterna i landet. Givetvis måste föreläggandet i det enskilda fallet utformas så att det klart framgår vad verksamhetsutövaren eller dennes motpart är skyldig att göra för att uppfylla föreläggandet.
6.9.3 Ingripande bör kunna ske vid alla pågående förfaranden som omfattas av ett krav på säkerhetsskyddsavtal
Vi ser inte skäl att begränsa tillämpligheten av ingripandemöjligheten till enbart sådana förfaranden som omfattas av samrådsskyldighet enligt våra förslag. På ett sätt skulle det visserligen framstå som konsekvent med det system som vi föreslår, eftersom det bygger på tanken om ett avsmalnande rör där den första kontrollstationen (särskild säkerhetsbedömning och lämplighetsprövning) träffar bredare än den andra kontrollstationen (samrådsskyldighet, förelägganden och förbud). Dock anser vi att nackdelarna med en sådan ordning överväger. Det finns flera situationer som inte omfattas av förfarandet med samråd, föreläggande och förbud där säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter exponeras för utomstående. Framför allt handlar det om när utomstående får tillgång till säkerhetsskyddsklassificerade uppgifter i verksamhetsutövarens lokaler. Att utesluta ingripanden i sådana situationer ser vi inte som ändamålsenligt.
Vidare menar vi att det rör sig om två olika frågor. Den andra kontrollstationen handlar om ett obligatoriskt förfarande som är betungande både för verksamhetsutövare och tillsynsmyndigheter. Det är då av stor vikt att försöka sålla ut de typiskt sett mest angelägna fallen. Den tredje kontrollstationen, som vi nu diskuterar, handlar i stället om att ingripa för att förhindra skada för Sveriges säkerhet när det redan står klart att ett visst pågående förfarande är helt eller delvis olämpligt från säkerhetsskyddssynpunkt. Då saknar det enligt vår mening betydelse om förfarandet omfattats av samrådsskyldigheten eller inte. Med hänsyn till det anförda bedömer vi att
253
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
övervägande skäl talar för att möjligheten att använda den tredje kontrollstationen ska gälla i alla fall där förfarandet omfattas av ett krav på säkerhetsskyddsavtal.
6.9.4 Förutsättningar för ett ingripande
Nästa fråga är under vilka förutsättningar som det bör vara möjligt att meddela förelägganden av det slag som vi nu diskuterar. Våra övriga förslag om möjlighet till förbud mot ett visst förfarande bygger på att det görs en bedömning att förfarandet i fråga är olämp-
ligt från säkerhetsskyddssynpunkt. För att regelverket ska hänga ihop och
framstå som konsekvent bör samma grundläggande kriterium gälla för att det ska vara möjligt att genom ett föreläggande ingripa i ett pågående förfarande. Det är en annan sak att det kan krävas mer av olämpligheten, t.ex. att den potentiella skadan är mer allvarlig, för att man ska ingripa mot ett pågående förfarande än mot ett förfarande som inte har påbörjats. Vi utvecklar detta i det följande.
En grundläggande princip är att kraven för att en myndighet ska få vidta en viss åtgärd bör sättas högre ju mer ingripande åtgärden är. Eftersom de förelägganden som vi föreslår kan vara såväl relativt lite ingripande i vissa fall som mycket ingripande i andra, anser vi det mindre lämpligt att bestämma en fast nivå som alltid ska gälla. Vi anser alltså inte att det alltid bör ställas krav på t.ex. att det kan uppstå allvarlig eller rentav synnerligen allvarlig skada. I stället menar vi att det är mer ändamålsenligt att ställa krav på tillsynsmyndigheten att göra en noggrann proportionalitetsbedömning i varje enskilt fall. Den proportionalitetsregel som vi föreslagit i avsnitt 6.8.8 bör alltså gälla även i fråga om dessa förelägganden. Detta innebär att föreläggande bara ska få beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen. Vid denna proportionalitetsbedömning bör alla skador och olägenheter för enskilda och allmänna intressen beaktas och vägas mot de skäl som talar för föreläggandet. Hur allvarlig den potentiella skadan för Sveriges säkerhet bedöms vara bör då vara en viktig parameter.
254
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
6.9.5 Tillsynsmyndigheterna bör fatta beslut om förelägganden
Eftersom det är fråga att ingripa i ett pågående förfarande som är olämpligt från säkerhetsskyddssynpunkt, typiskt sett därför att det innebär att Sveriges säkerhet är utsatt för hot eller sårbarhet, finns det skäl som talar för att besluten bör förbehållas ett fåtal myndigheter, företrädesvis Säkerhetspolisen och Försvarsmakten. För det alternativet talar också att Säkerhetspolisen och Försvarsmakten har en särställning inom säkerhetsskyddet genom den kompetens och erfarenhet som har upparbetats inom myndigheterna. Vidare har de unika kunskaper om hotbilden mot svenska skyddsvärden. Vad som talar emot detta alternativ är att vi anser att Säkerhetspolisens och Försvarsmaktens resurser i första hand bör användas för tillsyn över de allra mest skyddsvärda verksamheterna och för att ha ett samordnande ansvar när det gäller tillsynen över säkerhetsskyddet. Vi utvecklar detta närmare i våra resonemang om tillsyn i avsnitt 8.6 och 8.7.2.
Detta för oss in på det andra alternativet, vilket är att låta tillsynsmyndigheterna ansvara för beslut om att ingripa i pågående förfaranden inom respektive tillsynsområde. En uppenbar fördel med detta alternativ är att det följer den struktur som vi har föreslagit när det gäller såväl tillsyn som förfarandet med samråd, föreläggande och förbud. Liksom när det gäller den ordinarie tillsynsverksamheten skulle alternativet att låta tillsynsmyndigheterna ansvara för ingripanden i pågående förfaranden innebära att besluten fattas av en myndighet med hög sakkunskap om det aktuella området. Eftersom vi föreslår att Säkerhetspolisen och Försvarsmakten även i fortsättningen ska bedriva tillsyn över de allra mest skyddsvärda verksamheterna skulle ansvaret för ingripanden i pågående förfaranden enligt vår mening fördelas på ett ändamålsenligt sätt (se våra överväganden i avsnitt 8.7.2). Vi anser därför att det mest lämpliga alternativet är att placera möjligheten att ingripa i pågående förfaranden hos tillsynsmyndigheterna.
Förfarandet hos tillsynsmyndigheten kan med fördel bygga på den ordning som föreslås när det gäller ärenden om samråd, föreläggande och förbud som vi utvecklar i avsnitt 6.8.10. Eftersom det handlar om att ingripa i ett pågående förfarande kan det dock tänkas att ärendena ställer särskilda krav på skyndsamt agerande. I FL finns
255
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
möjligheter att göra avsteg från vissa av handläggningsreglerna i sådana situationer. Exempelvis kan beslutsmyndigheten enligt 25 § första stycket 3 FL avstå från att underrätta parten om allt material som är av betydelse för beslutet och ge tillfälle till yttrande innan beslutet fattas, om ett väsentligt allmänt eller enskilt intresse kräver att beslutet meddelas omedelbart. Vi bedömer att det finns ett tillräckligt utrymme i FL för att skyndsamt kunna fatta den typ av beslut om ingripanden som nu diskuteras.
Så snart en fråga om föreläggande aktualiseras vid tillsynsmyndigheten bör tillsynsmyndigheten underrätta antingen Säkerhetspolisen eller Försvarsmakten, beroende på vilken av dem som utövar tillsyn över tillsynsmyndigheten, som därigenom får en möjlighet att lämna synpunkter i ärendet. Med hänsyn till att ärendena ofta kan förväntas vara brådskande föreslår vi däremot inte något krav på att Säkerhetspolisen eller Försvarsmakten ska beredas tillfälle att yttra sig. En bestämmelse med detta innehåll bör tas in i säkerhetsskyddsförordningen. Det är vidare naturligt att tillsynsmyndigheten underrättar samordningsmyndigheten om utfallet av ärendet. Vi bedömer dock att detta inte behöver anges i förordningen.
Om det behövs bör tillsynsmyndigheten kunna bestämma att ett beslut om föreläggande ska gälla omedelbart.
6.9.6 Anmälningsplikt gäller
Kunskap om sådana förhållanden som medför ett behov av förelägganden kan finnas hos olika aktörer. Det kan exempelvis vara så att Säkerhetspolisen får information om något förhållande som innebär att det kan bli aktuellt med ett föreläggande. Man får i en sådan situation utgå ifrån att Säkerhetspolisen informerar tillsynsmyndigheten om detta, eller själv tar över tillsynsansvaret, så att relevanta åtgärder kan vidtas. I andra fall kan det vara verksamhetsutövaren själv som får kännedom eller misstanke om något förhållande som innebär behov av åtgärder. Vår bedömning är att denna situation omfattas av den anmälningsplikt vid säkerhetshotande verksamhet som följer av 2 kap. 10 § första stycket 3 nya säkerhetsskyddsförordningen.
256
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
6.10 Överklagande
Förslag: Beslut om förelägganden inom samrådsförfarandet över-
klagas till Förvaltningsrätten i Stockholm. Prövningstillstånd krävs vid överklagande till kammarrätten. Vid överklagande av ett sådant beslut är tillsynsmyndigheten motpart. Beslut om förbud mot att inleda ett visst förfarande och om föreläggande som avser ingripande i ett pågående förfarande överklagas till regeringen.
Bedömning: I de fall överklagande sker till regeringen tillgodo-
ses kravet på domstolsprövning genom möjligheten att ansöka om rättsprövning enligt lagen (2006:304) om rättsprövning av vissa regeringsbeslut. Eftersom bestämmelserna i 10 kap. 3 § OSL tillgodoser behovet av att skydda känsliga uppgifter i målet finns det inte anledning att inskränka reglerna om partsinsyn och kommunikation.
6.10.1 Inledning
Enligt de nuvarande och kommande bestämmelserna kan beslut om förelägganden och förbud vid statliga myndigheters upphandlingar inte överklagas (50 § gamla säkerhetsskyddsförordningen och 7 kap. 12 § nya säkerhetsskyddsförordningen). När vi nu föreslår att det ska införas regler om förelägganden och förbud som kan riktas mot enskilda, är det nödvändigt att överväga om denna ordning är förenlig med kravet på rätt till domstolsprövning i artikel 6 i Europakonventionen. Även i fall där artikel 6 inte aktualiseras, t.ex. därför att enskildas rätt inte berörs, finns det skäl att överväga om det bör finnas en möjlighet till överprövning. Vi diskuterar dessa frågor i det följande.
257
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
6.10.2 Både enskilda och offentliga aktörer bör kunna överklaga besluten
Beslut om förelägganden och förbud omfattas av artikel 6 i Europakonventionen
Vi har i avsnitt 3.6.4 redogjort för innehållet i artikel 6 i Europakonventionen, som ställer krav på att enskilda ska ha rätt till en rättvis domstolsprövning vid prövning av hans eller hennes civila rättigheter och skyldigheter. Enligt vår bedömning är bestämmelsen tillämplig när en enskild verksamhetsutövare genom förelägganden åläggs att vidta vissa åtgärder eller genom beslut av en tillsynsmyndighet hindras från att genomföra ett planerat förfarande. Det bör därför finnas en möjlighet för enskilda som berörs av beslutet att få till stånd en domstolsprövning. Det handlar då i första hand om enskilda verksamhetsutövare som får ett föreläggande mot sig eller hindras från att inleda ett önskat förfarande. Men det kan också tänkas att andra enskilda, t.ex. en tänkt avtalspart, är så pass berörda att beslutet anses röra deras civila rättigheter. Även sådana enskilda bör ha en möjlighet att få till stånd en domstolsprövning som lever upp till de krav som följer av artikel 6.
Även myndigheter bör kunna överklaga
Myndigheter och andra offentliga aktörer kan inte grunda någon rätt till domstolsprövning av ett föreläggande eller förbud på artikel 6 i Europakonventionen, eftersom denna enbart innebär rättigheter för enskilda. Däremot kan det av andra skäl än Europakonventionens krav finnas anledning att överväga en möjlighet till överklagande för sådana aktörer. Ett sådant skäl är att tillsynsmyndighetens bedömning kan ifrågasättas och att det därför finns anledning att ändra beslutet, som kan få stora konsekvenser för de berörda. En särskild situation kan också vara att vissa av de nu aktuella ärendena kan ha exempelvis försvars- eller säkerhetspolitiska aspekter. Om tillsynsmyndigheten förbjuder ett visst förfarande kan det i bland finnas anledning att medge att förfarandet genomförs trots de förekommande sårbarheterna. I ett sådant ärende handlar det strängt taget inte om att tillsynsmyndighetens beslut är felaktigt i rättslig mening,
258
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
utan om att det kan finnas skäl att ta hänsyn till andra överväganden än sådana som en tillsynsmyndighet kan göra.
Med hänsyn till det anförda bedömer vi att inte bara enskilda utan också myndigheter och andra offentliga organ som tillsynsmyndighetens beslut gått emot bör ha rätt att klaga på beslutet. Detta behöver enligt vår mening inte anges särskilt eftersom den som har inlett samråd är part i förvaltningsärendet och därmed torde ha klagorätt på grund av sin partsställning, förutsatt att beslutet har gått denne emot (jfr prop. 2016/17:180 s. 24). Detta torde innebära att myndigheten, utan att detta behöver föreskrivas särskilt, har klagorätt om tillsynsmyndighetens beslut går myndigheten emot, om inte något annat föreskrivs.
6.10.3 Överklagande av beslut enligt den andra kontrollstationen
Vi börjar med frågan om överklagande av sådana beslut som fattas inom ramen för den andra kontrollstationen. Som vi har anfört tidigare anser vi att beslut om förelägganden och förbud måste kunna överklagas och att det är lämpligt att överklagande kan göras av både enskilda och offentliga aktörer som beslutet har gått emot. Frågan är då vilken instans som bör pröva ett sådant överklagande. Man kan tänka sig olika alternativ. Innan vi går in på de olika alternativen bör det dock framhållas att vi utgår ifrån att det kommer att bli mycket sällsynt att en tillsynsmyndighet beslutar om förbud. Erfarenheter från våra grannländer där det finns liknande möjligheter i samband med företagsförvärv ger stöd för detta antagande. I Finland finns det en möjlighet att hindra vissa utländska företagsförvärv. Man har där funnit att reglerna i sig verkar avhållande och man har i praktiken aldrig behövt fatta ett sådan t beslut.
17
Det kan tilläggas att möjlig-
heten i 16 a § gamla säkerhetsskyddsförordningen att förbjuda en viss upphandling hittills inte har utnyttjats. Vi utgår alltså från att samrådsförfarandet i de allra flesta fall kommer att vara tillräckligt för att verksamhetsutövare självmant ska avstå från förfaranden som tillsynsmyndigheten anser vara olämpliga från säkerhetsskyddssynpunkt. Oavsett överklagandeinstans bör man alltså räkna med att det
17 Uppgiften gäller lagen om tillsyn över utlänningars företagsköp och avser tiden t.o.m. mars 2018.
259
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
kommer att handla om ett mycket litet antal överklaganden som rör förbud.
Det kan antas att besluten om föreläggande kommer att bli något vanligare. Det är dock inte troligt att överklaganden kommer att bli särskilt vanliga i dessa ärenden heller. Vi utgår alltså ifrån att även den sammantagna målvolymen blir relativt liten.
Vi diskuterar i det följande vilken instans som ska pröva överklaganden om föreläggande och förbud enligt den andra kontrollstationen.
Alternativ 1 – Förvaltningsrätten i Stockholm
Eftersom det rör sig om förvaltningsbeslut är det en naturlig utgångspunkt att beslut om föreläggande och förbud överklagas till allmän förvaltningsdomstol. Målen enligt säkerhetsskyddslagen är av ett så särpräglat slag att man inte kan räkna med att tillräcklig kompetens ska kunna skapas och upprätthållas hos alla förvaltningsrätter, särskilt som målen kan förväntas bli få.
Mot denna bakgrund anser vi att det första alternativet är att besluten får överklagas till Förvaltningsrätten i Stockholm. En fördel med att välja detta alternativ är att man ansluter till en färdig processordning. Förvaltningsrätten i Stockholm kan, genom att mål enligt säkerhetsskyddslagen koncentreras dit, upparbeta särskild kompetens på området.
Ett särskilt problem är att det i ärendena kan förekomma mycket känsliga uppgifter. Det kan t.ex. handla om underrättelseuppgifter som har lämnats av en annan stat med förbehåll att uppgifterna inte får lämnas vidare till någon annan än regeringen. Även om uppgifterna inte har ett sådant ursprung kan det finnas starka skäl för att de hålls inom en så begränsad krets som möjligt. Dessutom kan det, i varje fall när det handlar om förbud mot ett visst förfarande, finnas skäl till andra överväganden än rent rättsliga sådana. Som vi tidigare nämnt kan nämligen ärenden om förbud mot vissa förfaranden ha politiska aspekter, och inte minst utrikes-, försvars- och säkerhetspolitiska aspekter. Detta leder oss in på det andra alternativet, nämligen att besluten överklagas till regeringen.
260
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
Alternativ 2 – Regeringen
En mycket viktig fördel med en ordning som går ut på att man överklagar förbud till regeringen är att sådana politiska aspekter som nyss nämnts kan beaktas. Vi har svårt att se att någon annan instans skulle vara lämpad för sådana överväganden. Detta är ett utomordentligt starkt skäl för att regeringen ska pröva överklagandena såvitt gäller frågor om förbud. Det finns visserligen en strävan att minska antalet ärenden som regeringen hanterar. Detta är dock inget tungt argument mot regeringen som överklagandeinstans, eftersom det kan förväntas handla om ett mycket litet antal ärenden. Som vi redan nämnt förväntar vi oss att det blir sällsynt med förbudsbeslut. Det är rimligt att anta att överklaganden blir än mer sällsynta. Förmodligen kommer det att handla om högst några enstaka ärenden under ett år.
Den nu beskrivna fördelen gör sig knappast gällande när det handlar om förelägganden. Där lär det nämligen inte bli aktuellt med den typ av överväganden som endast regeringen kan göra. Skälen för att förelägganden överklagas till regeringen är alltså betydligt svagare.
En annan fördel med att överklaganden prövas av regeringen är att man därigenom minskar problemet med uppgifter som erhållits av främmande stat med förbehåll att de inte får lämnas vidare till någon annan än regeringen. Detta problem torde vara större i ärenden om förbud, men det kan inte uteslutas att uppgifter av detta slag även kan förekomma i ärenden om föreläggande.
En uppenbar nackdel med det nu diskuterade alternativet är att regeringen inte utgör en domstol som lever upp till de krav som ställs i artikel 6 i Europakonventionen. Detta innebär att det därutöver måste finnas någon möjlighet till en domstolsprövning i de fall där enskildas civila rättigheter och skyldigheter aktualiseras. Det bör då beaktas att det i sådana fall finns en möjlighet att begära prövning enligt 1 § rättsprövningslagen. Denna möjlighet finns just till för att skapa en garanti för att enskilda får tillgång till domstolsprövning i de fall där det krävs enligt artikel 6 (se mer om rättsprövningslagen i avsnitt 3.6.5). Vi bedömer att en sådan möjlighet i och för sig vore tillräcklig för att tillgodose de krav som följer av artikel 6.
261
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Alternativ 3 – Specialdomstol
Det tredje alternativet skulle kunna vara att överklagandena prövas i en specialdomstol. Man kan då antingen tänka sig att man inrättar en helt ny domstol med ansvar just för mål enligt säkerhetsskyddslagen, eller att någon av de befintliga specialdomstolarna ges nya uppgifter. Vi börjar med det sistnämnda alternativet. Den befintliga specialdomstol som ligger till närmast är Försvarsunderrättelsedomstolen, som har till uppgift att pröva frågor om tillstånd till signalspaning enligt lagen (2008:717) om signalspaning i försvarsunderrättelseverksamhet (1 § lagen [2009:966] om försvarsunderrättelsedomstolen). Ett speciellt inslag i processen i Försvarsunderrättelsedomstolen är att föremålen för signalspaning inte har någon del i processen. I stället företräder ett särskilt integritetsombud enskilda integritetsintressen (5 § lagen om försvarsunderrättelsedomstol). Ombudet har rätt att ta del av det som förekommer i målet och att yttra sig.
En fördel med att ge Försvarsunderrättelsedomstolen nya uppgifter skulle vara att man delvis kan utnyttja en kompetens som redan finns i domstolen. I domstolen finns det nämligen ledamöter med erfarenhet av underrättelseverksamhet. Vidare skulle det innebära att känsliga uppgifter begränsas till en liten krets av personer med vana att hantera frågor om Sveriges säkerhet och underrättelseverksamhet. Att överklagandena behandlas av Försvarsunderrättelsedomstolen framstår också som en relativt kostnadseffektiv lösning.
Som tidigare nämnts kan man även tänka sig att man inrättar en ny specialdomstol med ansvar för säkerhetsskyddsärendena, eller någon form av domstolsliknande nämnd.
Oavsett vilket av dessa alternativ man väljer skulle det bli nödvändigt att utforma en särskild reglering för processen. En sådan reglering skulle exempelvis kunna inspireras av systemet med integritetsombud. Även om systemet inte fullt ut skulle kunna överföras till säkerhetsskyddsärendena, som är ett tvåpartsförfarande, kan man tänka sig att systemet med särskilda ombud skulle kunna anpassas för fall där det i målet förekommer så känslig information att det inte är lämpligt att den lämnas ens till parten. Man kan då tänka sig att någon form av ombud skulle kunna bevaka partens rätt i dessa delar.
262
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
Inspiration skulle även kunna hämtas från Storbritanniens s.k.
Closed Material Procedures (se Justice and Security Act 2013). Det
är fråga om ett förfarande för att hantera känslig information om rikets säkerhet som bevisning i domstolar. Inom ramen för en Closed Material Procedure får endast domare och säkerhetsprövade ombud tillgång till känsliga uppgifter i processen. Parten får alltså inte del av de känsliga uppgifterna om rikets säkerhet. Förfarandet får inte användas i brottmål. Europadomstolen har nyligen, i ett avvisningsbeslut i Gulamhussein och Tariq mot Förenade Konungariket den 26 april 2018 (mål nummer 46538/11 och 3960/12) bedömt att förfarandet med Closed Material Procedure levde upp till konventionens krav, bl.a. då den enskilde haft möjlighet att föra sin talan genom ett säkerhetsprövat ombud. Fördelen med ett förfarande av detta slag skulle vara att man gör det möjligt att beakta känsliga uppgifter om Sveriges säkerhet, underrättelseinformation m.m. utan att parterna får del av dem, samtidigt som det skapas vissa särskilda rättssäkerhetsgarantier.
Vår bedömning om överklagande av förelägganden
Vi har i det föregående lagt fram tre olika alternativa lösningar i fråga om prövning av överklaganden. Som har framgått där anser vi att skälen gör sig gällande i olika grad beroende på om det är fråga om ett föreläggande eller ett förbud. Vi behandlar därför dessa två typer av beslut separat och börjar med överklagande av förelägganden inom ramen för samrådsförfarandet.
Ett av alternativen är att överklagande görs till regeringen (alternativ 2). De skäl som kan tala för regeringen som överklagandeinstans handlar enligt vår bedömning framför allt om förbud mot ett visst förfarande. Det kan i sådana fall finnas anledning till överväganden av politisk karaktär som inte lämpligen kan göras av en domstol. Sådana överväganden lär däremot sällan aktualiseras i samband med bedömning av meddelade förelägganden. Mot denna bakgrund och med hänsyn till strävan att minska mängden ärenden som regeringen fattar beslut i anser vi att alternativ 2 inte bör väljas i fråga om överklagande av förelägganden.
263
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Vi anser inte heller att uppgiften att pröva överklaganden av förelägganden bör läggas på en specialdomstol (alternativ 3). Oavsett om man lägger ärendena på Försvarsunderrättelsedomstolen eller skapar en ny domstol skulle det krävas att man utarbetar en helt ny reglering för processen. Något sådant finns det inte utrymme för inom ramen för detta uppdrag. Vi anser dessutom att de svårigheter som kan finnas kring känsliga uppgifter i ärendena kan lösas på annat sätt, vilket vi återkommer till senare i kapitlet. Vi föreslår alltså inte alternativ 3.
I stället menar vi att övervägande skäl talar för alternativ 1, dvs. att beslut om förelägganden överklagas till Förvaltningsrätten i Stockholm. De förelägganden som meddelas inom ramen för ett samrådsförfarande liknar på många sätt andra förelägganden som tillsynsmyndigheten ska kunna rikta mot en verksamhetsutövare enligt våra förslag i kapitel 8. Vi ser inte skäl att ha avvikande regler när det gäller förelägganden som meddelas inom ramen för samrådsförfarandet. Vi föreslår alltså att föreläggandena ska överklagas till Förvaltningsrätten i Stockholm. Det bör krävas prövningstillstånd vid överklagande till kammarrätten.
Formerna för överklagande av tillsynsmyndighetens beslut och vilken överklagandefrist som ska gälla m.m. bör i övrigt inte avvika från FL:s bestämmelser. Vi föreslår därför inte några särskilda bestämmelser om detta. Av tydlighetsskäl bör det vidare framgå av bestämmelsen att tillsynsmyndigheten har ställning som motpart i ett mål hos domstolen som gäller överklagande av tillsynsmyndighetens beslut. Att en myndighet som intagit partsställning kan överklaga förvaltningsrättens beslut som gått myndigheten emot framgår av 33 § förvaltningsprocesslagen (1971:291, härefter FPL) jämförd med 7 a § samma lag.
Vår bedömning om överklagande av förbud
När det gäller förbud gör sig vissa andra argument gällande än när det rör sig om ett föreläggande. Man kan här dra vissa paralleller till regleringen om säkerhetsärenden på utlänningslagstiftningens område. Säkerhetsärenden är ärenden där Säkerhetspolisen av skäl som rör rikets säkerhet eller som annars har betydelse för allmän säkerhet förordar exempelvis utvisning. Många sådana ärenden handläggs
264
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
enligt utlänningslagen (2005:716) och följer då den vanliga instansordningen. Särskilt kvalificerade ärenden handläggs dock enligt lagen (1991:572) om särskild utlänningskontroll (LSU). Det rör sig då i första hand om sådana ärenden där den inre säkerheten är utsatt för allvarligt hot. Migrationsverkets beslut överklagas i dessa ärenden till regeringen som är sista instans. Där gäller alltså en ordning som till stor del motsvarar vårt alternativ 2.
En utlänning får utvisas ur landet enligt LSU, om det är särskilt påkallat av hänsyn till rikets säkerhet, eller om det med hänsyn till vad som är känt om utlänningens tidigare verksamhet och övriga omständigheter kan befaras att han eller hon kommer att begå eller medverka till terroristbrott eller försök, förberedelse eller stämpling till sådant brott (1 § LSU). Den särskilda instansordningen med överklagande till regeringen motiverades i förarbetena i huvudsak med att vissa ärenden kräver känsliga utrikespolitiska bedömningar och andra innehåller känslig information om Säkerhetspolisens verksamhet (prop. 2009/10:31 s. 237 och 238). Det ansågs att vissa säkerhetsärenden är av sådan karaktär att deras utgång har särskilt stor betydelse för den nationella säkerheten och att det i dessa ärenden är naturligt att regeringen har en roll, särskilt mot bakgrund av regeringens övergripande ansvar för rikets säkerhet.
Liknande överväganden gör sig gällande när det är fråga om förbud enligt säkerhetsskyddslagen mot att genomföra ett visst förfarande som kräver säkerhetsskyddsavtal. Enligt våra förslag kommer förbud enbart att aktualiseras när det kan uppstå en allvarlig skada eller synnerligen allvarlig skada för Sveriges säkerhet om t.ex. en säkerhetsskyddsklassificerad uppgift obehörigen röjs. Det handlar alltså om kvalificerade fall. Vidare handlar det om ärenden som kan aktualisera överväganden som bara regeringen kan göra. Som vi tidigare utvecklat kan ärendena nämligen aktualisera känsliga utrikes-, säkerhets- och försvarspolitiska överväganden. Dessutom kan det i ärendena förekomma såväl känslig information om t.ex. Säkerhetspolisens verksamhet som utländska underrättelseuppgifter som lämnats över med förbehåll om att de inte får lämnas vidare till någon annan än regeringen. Det anförda talar utomordentligt starkt för att ärendena bör överklagas till regeringen. Med hänsyn till detta och till det som i övrigt anförts under rubriken Alternativ 2 – Regeringen föreslår vi att regeringen ska vara överklagandeinstans i ärenden om förbud.
265
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Regeringens beslut kan inte överklagas, men kan däremot bli föremål för rättsprövning enligt rättsprövningslagen om beslutet innefattar en prövning av enskildas civila rättigheter och skyldigheter enligt artikel 6 i Europakonventionen. En sådan ansökan får bara göras av enskilda. Därigenom anser vi att de krav på domstolsprövning som följer av artikel 6 tillgodoses.
6.10.4 Överklagande av beslut enligt den tredje kontrollstationen
Beslut om förelägganden som meddelas inom den tredje kontrollstationen uppvisar likheter med såväl förelägganden som förbud inom samrådsförfarandet, med den skillnaden att de nu diskuterade föreläggandena gäller ett pågående förfarande medan föreläggandena under samrådet är framåtsyftande. Förelägganden om ett pågående förfarande kan ha att göra med förändringar som inträffat i omvärlden i stort. Redan detta talar för att prövningen kan inrymma frågor som är mindre lämpliga för en domstolsprocess. Det bör också beaktas att det kan finnas behov av att väga in andra aspekter än rent rättsliga i denna typ av beslut, t.ex. utrikes-, försvars-, och säkerhetspolitiska skäl. Detta talar enligt vår mening för att regeringen bör vara den instans som prövar överklaganden. I sammanhanget bör det också beaktas att det är regeringen som har det övergripande ansvaret för rikets säkerhet (prop. 2009/10:31 s. 237). Övervägande skäl talar enligt vår mening därmed för att föreläggande om att ingripa i ett pågående förfarande överklagas till regeringen.
Regeringens beslut kan bli föremål för rättsprövning om beslutet innefattar en prövning av enskildas civila rättigheter och skyldigheter enligt artikel 6 i Europakonventionen. Som sagts tidigare anser vi att de krav på domstolsprövning som följer av artikel 6 därigenom tillgodoses.
266
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
6.10.5 Om domstolsprövningen och rätten till partsinsyn m.m.
Kraven på kommunikation och partsinsyn
Överklagade ärenden om förelägganden och förbud kan i vissa fall aktualisera särskilda frågor som har att göra med att de kan innehålla mycket känsliga uppgifter av betydelse för Sveriges säkerhet. Vi har nämnt denna problematik flera gånger tidigare i detta kapitel och då beskrivit att det bl.a. kan handla om känslig underrättelseinformation, eller information som tagits emot från en utländsk säkerhetseller underrättelsetjänst med förbehåll om att informationen inte får lämnas till någon annan än regeringen (jfr prop. 2009/10:31 s. 235). Det kan också vara så att uppgifterna är känsliga för annan säkerhetskänslig verksamhet eller att värdet av den verksamhet som myndigheterna bedriver snabbt skulle komma att minska om uppgifterna blev kända. Detta ger upphov till frågor om sekretess. I vissa fall kan det vara så att uppgifterna är så känsliga att de inte ens bör delges verksamhetsutövaren. Det finns alltså ett spänningsförhållande mellan rätten till partsinsyn och sekretess. Vi har diskuterat denna fråga när det gäller handläggningen av ärendet hos tillsynsmyndigheten (se avsnitt 6.8.10).
Motsvarande fråga gör sig gällande i domstolsprocessen, vare sig det är fråga om en sedvanlig förvaltningsprocess eller om rättsprövning i Högsta förvaltningsdomstolen. Bestämmelser om kommunikation av det som förekommer i målet finns bl.a. i 10 och 12 §§ FPL. I 18 § anges att det att ett mål, förutom i vissa särskilt uppräknade fall, inte får avgöras utan att parterna har fått kännedom om det som tillförts målet genom annan än honom själv och haft tillfälle att yttra sig över det. Om FPL:s bestämmelser tillämpas gäller alltså i de flesta fall ett krav på att parterna har rätt till insyn i allt som förs in i processen. Vidare följer av 30 § samma lag att domstolen inte får grunda sitt avgörande på material som parterna saknar kännedom om. Emellertid måste man också beakta 19 §, som innebär att underrättelseskyldigheten enligt 10 § första stycket, 12 eller 18 § gäller med de begränsningar som följer av 10 kap. 3 § OSL. Även rätten till partsinsyn, dvs. att på begäran ta del av det som tillförts målet, gäller med samma begränsningar (43 §).
När det gäller kollisionsregeln i 10 kap. 3 § OSL gör vi här samma bedömning som vi gjort i fråga om kommunikation och partsinsyn i själva förvaltningsärendet hos tillsynsmyndigheten i avsnitt 6.8.10.
267
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Med andra ord anser vi att det inte behöver göras något undantag från de regler som annars gäller för att tillgodose behovet av skydd för särskilt känsliga uppgifter som omfattas av sekretess, även i förhållande till parten.
Motiveringsplikten
Som vi har redovisat i våra överväganden om själva samrådsärendet är det tillåtet enligt 32 § FL att utelämna skälen för ett avgörande bl.a. om det är nödvändigt med hänsyn till skyddet för rikets säkerhet eller för enskildas personliga och ekonomiska förhållanden. Förvaltningsprocesslagen innehåller inte något motsvarande undantag från motiveringsplikten för domstolarna. I 30 § FPL anges det att rättens avgörande av mål ska grundas på vad handlingarna innehåller och vad i övrigt förekommit i målet och att det av beslutet ska framgå de skäl som bestämt utgången. Detta aktualiserar frågan om hur domstolen ska hantera situationen att avgörandet måste grundas på omständigheter som är så känsliga att parten inte bör få kännedom om dem. Det förekommer att allmänna förvaltningsdomstolar kompenserar för avsaknaden av en möjlighet att utelämna skäl genom att avfatta en delvis intetsägande motivering. Det har ansetts att detta kan vara nödvändigt och acceptabelt för att upprätthålla det skydd som motiverat att en förhandling hålls inom stängda dörrar (jfr JO 1998/99 s. 184 och JO 1999/2000 s. 175).
Det får förutsättas att avgöranden om såväl förbud som förelägganden utformas på ett sådant sätt att uppgifter som med hänsyn till Sveriges säkerhet inte får komma till partens kännedom inte röjs genom att de tas in i avgörandet. Detta kräver enligt vår mening inte någon särskild reglering om undantag från motiveringsplikten.
Om kravet på att parterna är likställda
En annan fråga är om regleringen i tillräcklig mån beaktar kravet på att parterna är likställda i processen. Principerna om att processen ska vara kontradiktorisk och att parterna ska vara likställda är fundamentala delar av kravet på en rättvis rättegång enligt artikel 6 i Europakonventionen. Det krävs att det föreligger en rimlig balans
268
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
mellan parterna. Detta innebär att varje part måste ha en rimlig möjlighet att lägga fram sin talan under förhållanden som inte placerar parten i ett väsentligt sämre läge än motparten (se t.ex. Europadomstolens avgörande i stor kammare i Avoti
ņš mot Lettland den
23 maj 2016, mål nummer 17502/07, § 119). Vi har utvecklat den närmare innebörden av kraven i artikel 6 i avsnitt 3.6.4.
De rättigheter som följer av de nyss nämnda principerna är inte absoluta. Det finns ett antal avgöranden där Europadomstolen har gett tyngre vägande nationella intressen företräde när en part vägrats ett fullt ut kontradiktoriskt förfarande. Vidare har de fördragsslutande länderna en viss bedömningsmarginal i dessa frågor (se t.ex.
Miryana Petrova mot Bulgarien den 21 juli 2016, mål nummer 57148/08,
§§ 39–40, och Ternovskis mot Lettland den 29 april 2014, mål nummer 33637/02, §§ 65–68). Det finns inte heller någon absolut rätt att ta del av alla uppgifter som läggs till grund för ett avgörande. I avgörandet Regner mot Tjeckien (den 19 september 2017, mål nummer 35289/11) hade varken klaganden eller hans ombud fått ta del av hemliga handlingar som innehöll uppgifter som legat till grund för beslutet att återkalla hans säkerhetsgodkännande (se vidare om avgörandet i avsnitt 3.6.4). I den del den nationella domstolens avgörande grundades på handlingarnas innehåll fick klaganden inte heller veta skälen för beslutet. Vid en bedömning av processen som helhet ansåg Europadomstolen att klagandens rättigheter enligt artikel 6 inte hade kränkts. Europadomstolen fäste då särskilt avseende vid att den nationella domstolen hade haft full tillgång till de dokument som låg till grund för myndighetsbeslutet om återtagande av säkerhetsgodkännandet. Man beaktade också att den nationella domstolen även hade möjlighet att bedöma skälen för att inte delge klaganden dessa dokument och att beordra beslutsmyndigheten att visa upp dem om domstolen bedömer att det inte finns grund för att hålla dem hemliga. Europadomstolen framhöll vidare att den nationella domstolen var behörig att bedöma myndighetens beslut och att ogilla beslutet om det skulle visa sig godtyckligt.
Säkerhetsskyddslagen reglerar enbart frågor som har att göra med nationell säkerhet och internationell samverkan på säkerhetsskyddsområdet. Bestämmelserna tar uteslutande sikte på de mest skyddsvärda verksamheterna i Sverige och verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (1 kap. 1 § nya säkerhetsskyddslagen). Det samrådsförfarande som
269
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
vi föreslår, och de möjligheter som finns att besluta om föreläggande och förbud, aktualiseras bara i vissa kvalificerade fall. Redan när det gäller tillämpligheten har det alltså gjorts en avvägning mellan behovet av kontroll över vissa förfaranden och enskildas rättigheter. Bestämmelserna är över huvud taget inte tillämpliga annat än i allvarliga fall.
Vi anser vidare att bestämmelserna i FPL, som i sin tur hänvisar till 10 kap. 3 § OSL, tillräckligt tillgodoser partens intresse av att få del av allt relevant material, eftersom de enbart gör undantag från grundprincipen om full insyn när det är av synnerlig vikt för något allmänt eller enskilt intresse att uppgiften hålls hemlig för parten. Vår bedömning är att de inskränkningar som kan göras är proportionerliga och att regleringen lever upp till de krav som följer av artikel 6 i Europakonventionen.
6.11 Uppföljning under avtalstiden och ändrade förhållanden
Förslag: I nya säkerhetsskyddslagen införs en bestämmelse om
att det i säkerhetsskyddsavtalet ska anges att verksamhetsutövaren har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden. Den befintliga bestämmelsen om verksamhetsutövarens kontroll av att säkerhetsskyddsavtalet följs kompletteras med en ny bestämmelse om att verksamhetsutövaren ska se till att säkerhetsskyddsavtalet revideras om det krävs på grund av ändrade förhållanden.
I detta avsnitt behandlar vi frågor om uppföljning och ändrade förhållanden under avtalstiden för säkerhetsskyddsavtalen. De frågorna har en nära koppling till våra förslag i kapitel 5 om att utvidga kravet på att ingå säkerhetsskyddsavtal till fler situationer. Frågorna anknyter dock närmast till problembeskrivningen i avsnitt 6.4.6 om bristande eller utebliven uppföljning. Vi har därför valt att placera våra överväganden om uppföljning och ändrade förhållanden i detta kapitel.
270
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
6.11.1 Uppföljning behöver beaktas när avtal utformas
Enligt vår bedömning är det en förutsättning för ändamålsenlig uppföljning att säkerhetsskyddsavtal och närliggande avtal utformas med eftertanke. Den som inleder ett förfarande som kräver säkerhetsskyddsavtal behöver inte bara analysera vilka säkerhetsskyddskrav som är nödvändiga utan också fundera över hur säkerhetsskyddet ska följas upp hos motparten. Därutöver är det viktigt att verksamhetsutövaren noggrant överväger om det finns anledning att ställa krav på motparten att anmäla förändringar och andra förhållanden av betydelse för att upprätthålla ett väl anpassat säkerhetsskydd under förfarandet. Det kan bl.a. handla om förändringar i styrelse och ledning, ägarförhållanden, flyttning av lokaler eller utrustning, begäran om konkurs eller andra förhållanden som kan ha betydelse för motpartens lämplighet från säkerhetsskyddssynpunkt eller behovet av säkerhetsskyddsåtgärder.
Naturligtvis kan verksamhetsutövares kontroll leda till bedömningen att motparten inte lever upp till säkerhetsskyddsavtalet. Därför är det nödvändigt att verksamhetsutövare även tar höjd för detta när avtal utformas. Affärsavtalet eller motsvarande avtal bör således kopplas till säkerhetsskyddsavtalet på sådant sätt att affärsavtalet kan sägas upp om motparten inte följer säkerhetsskyddsavtalet. Enligt vad vi erfar är det normalt att affärsavtal villkoras med att säkerhetsskyddsavtalet följs.
6.11.2 Kontroll av att säkerhetsskyddsavtalet följs
När en del av en säkerhetskänslig verksamhet utkontrakteras är det fortlöpande säkerhetsskyddsarbetet lika viktigt som den ursprungliga analysen av vilka säkerhetskyddskrav som ska ställas i säkerhetsskyddsavtalet. Detta gäller i synnerhet för de utkontrakteringar där omfattningen av säkerhetsskyddsklassificerade uppgifter ökar ju längre avtalet är i kraft samt i de utkontrakteringar där nya säkerhetsskyddsklassificerade uppgifter skapas hos leverantören. För att säkerhetskänslig verksamhet ska få ett väl anpassat säkerhetsskydd även i utkontrakterad verksamhet är det därför viktigt med en löpande uppföljning av att leverantören följer säkerhetsskyddsavtalet. Uppföljningen är viktig även i andra fall där säkerhetsskyddsavtal har
271
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
ingåtts. Trots detta slarvar vissa verksamhetsutövare med uppföljningen (problem 5 i avsnitt 6.5).
I 2 kap. 6 § andra stycket nya säkerhetsskyddslagen finns en bestämmelse som innebär att en verksamhetsutövare som tecknat ett säkerhetsskyddsavtal ska kontrollera att leverantören följer avtalet. Alltså framgår det tydligt att den verksamhetsutövare som har utkontrakterat en del av sin säkerhetskänsliga verksamhet eller som i något annat sammanhang ingått ett säkerhetsskyddsavtal också är skyldig att följa upp att leverantören fullgör de åligganden som följer av säkerhetsskyddsavtalet. Det framgår dessutom av 3 kap. 3 § andra stycket nya säkerhetsskyddslagen att en genomförd säkerhetsprövning av t.ex. ett bolags personal eller ledning ska följas upp under hela den tid som deltagandet i den säkerhetskänsliga verksamheten pågår. Med hänsyn till dessa bestämmelser ser vi inte anledning att i nuläget lämna förslag till författningsändringar i syfte att åstadkomma en bättre uppföljning av att säkerhetsskyddsavtal följs. Det är dock viktigt att här framhålla att den verksamhetsutövare som utkontrakterar en del av sin verksamhet har ett ansvar för att även under utkontrakteringen se till att ha tillgång till personer med rätt kompetens för att effektivt kunna övervaka den utkontrakterade verksamheten och hantera de sårbarheter som utkontrakteringen är förenad med samt löpande övervaka verksamheten och hantera dessa sårbarheteter.
18
Av redaktionella skäl bör bestämmelsen om uppföljning flyttas till en egen paragraf.
6.11.3 Revidering av säkerhetsskyddsavtal efter ändrade förhållanden
En annan aspekt av uppföljning och utformning av säkerhetsskyddsavtal har att göra med att förhållandena kan ändras. Det kan t.ex. handla om att förhållanden i omvärlden förändras på ett sådant sätt att det finns anledning att vidta andra säkerhetsskyddsåtgärder än vad som följer av det ursprungliga säkerhetsskyddsavtalet. Det kan handla om att kraven på säkerhetsskydd har höjts, men också om att
18 Försvarets radioanstalt har belyst detta i rapporten Åtgärdsförslag, Angrepp via tjänste-
leverantör, (2017-04-10, dnr 10 750:3327/17:1), där det framhålls att verksamhetsutövaren
även efter en utkontraktering behöver ha kompetens att kravställa, följa upp och avsluta en utkontraktering.
272
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
det finns anledning att skruva ner kraven. Även den sistnämnda situationen är viktig, eftersom onödiga krav på t.ex. säkerhetsprövning inte bör förekomma.
Vår bedömning är att det behövs regler där det klargörs att säkerhetsskyddsavtalet kan revideras om förhållandena ändras. Bestämmelsen bör utformas på sådant sätt att det i säkerhetsskyddsavtalet ska anges att verksamhetsutövaren har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden. Det bör alltså åligga verksamhetsutövaren att se till att möjligheten att revidera avtalet tas in i säkerhetsskyddsavtalet. En viktig fördel med en sådan ordning är att det därigenom blir tydligt för en myndighet som avser att t.ex. utkontraktera en del av sin säkerhetskänsliga verksamhet genom upphandling, eller genomföra en annan offentlig upphandling, att möjligheten till revision av säkerhetsskyddsavtalet måste framgå redan av förfrågningsunderlaget, så att anbudsgivarna kan anpassa sina anbud efter denna möjlighet. Motsvarande fördelar uppkommer för verksamhetsutövare som inte omfattas av upphandlingsregleringen men som i affärsavtalet eller motsvarande överenskommelse behöver ta höjd för möjligheten att revidera säkerhetsskyddsavtalet vid ändrade förhållanden.
Vi föreslår att den grundläggande bestämmelsen om ett säkerhetsskyddsavtals innehåll flyttas från 2 kap. 6 § första stycket till en ny paragraf och kompletteras med en bestämmelse om revidering. Den sistnämnda bestämmelsen bör gå ut på att det i säkerhetsskyddsavtalet ska anges att verksamhetsutövaren har rätt att revidera avtalet om det krävs på grund av ändrade förhållanden.
Det bör vidare tydliggöras att uppföljningsskyldigheten när ett säkerhetsskyddsavtal har ingåtts inte bara gäller efterlevnaden av avtalet, utan också om avtalet behöver revideras på grund av ändrade förhållanden. Även detta bör framgå av säkerhetsskyddslagen, lämpligen av en ny paragraf i anslutning till bestämmelserna om säkerhetsskyddsavtal.
273
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
6.12 Det bör införas tvångsåtgärder
Förslag: Det införs i nya säkerhetsskyddslagen bestämmelser av
följande innebörd om en möjlighet att i vissa fall tillgripa tvångsåtgärder. Om det behövs för att ändamålet med ett förbud eller föreläggande inte ska motverkas, och det är proportionerligt, får Stockholms tingsrätt på yrkande av tillsynsmyndigheten besluta om kvarstad och andra sådana åtgärder som avses i 15 kap.1–3 §§rättegångsbalken. En åtgärd får beslutas även om föreläggandet eller förbudet inte fått laga kraft. Vid behandlingen av en fråga om tvångsåtgärder ska rätten tillämpa vad som gäller när en fråga om åtgärd enligt 15 kap. 1, 2 eller 3 § rättegångsbalken uppkommer i en rättegång. Ett yrkande får inte bifallas utan att motparten har fått tillfälle att yttra sig. Om det är fara i dröjsmål får dock rätten omedelbart bevilja åtgärden till dess annat förordnas.
Tillsynsmyndigheten ska genast meddela rätten när syftet med en tvångsåtgärd har uppnåtts, eller det av någon annan anledning inte längre finns skäl för åtgärden. Rätten ska omedelbart upphäva en tvångsåtgärd om det inte längre finns skäl för åtgärden. Rätten ska ompröva åtgärden med fyra veckors mellanrum. Åtgärden får inte upphävas utan hörande av tillsynsmyndigheten.
6.12.1 Föreläggande och förbud bör kunna kompletteras med tvångsåtgärder
Möjligheterna för tillsynsmyndigheten att utfärda förelägganden och förbud i de olika situationer som har behandlats i detta kapitel kan i många fall antas ge tillsynsmyndigheterna goda verktyg för att förhindra skada för Sveriges säkerhet i samband med utkontraktering och andra förfaranden som omfattas av regleringen. Det kan dock finnas fall där det behöver vidtas omedelbara åtgärder för att förhindra sådan skada och där det finns skäl att tro att parterna kan agera i strid med det som de ålagts. Ett exempel kan vara att en olämplig leverantör har anlitats för att sköta driften av ett säkerhetskänsligt it-system och man akut behöver förhindra att säkerhetsskyddsklassificerade uppgifter lämnas ut till leverantören, eller att leverantören får tillgång till systemet. En sådan händelse kan vara särskilt problematisk om leverantören finns i utlandet, eftersom
274
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
svenska myndigheter inte kan ingripa på främmande territorium utan medverkan från den främmande staten. Det kan även finnas andra situationer där det är nödvändigt med ett omedelbart ingripande för att förhindra att en skada för Sveriges säkerhet sker.
Vår bedömning är att de åtgärder som vi har föreslagit i det föregående inte fullt ut tillgodoser behovet av att snabbt kunna ingripa. Eftersom det endast undantagsvis lär pågå en förundersökning kan man inte räkna med att de straffprocessuella tvångsmedlen ska kunna användas. Som komplement menar vi därför att det behöver finnas någon form av tvångsåtgärder som går ut på att genomföra det som föreläggandena och förbuden syftar till att uppnå. Det kan t.ex. handla om att en leverantör kan behöva förhindras från att få tillgång till uppgifter eller informationssystem, eller till någon annan säkerhetskänslig egendom.
Det är naturligt att man i första hand undersöker om det finns någon befintlig tvångsåtgärd som kan tillämpas i de aktuella situationerna. Eftersom det inte är fråga om en straffrättslig process framstår det som mest näraliggande att överväga om de tvångsåtgärder som kan användas i tvistemål skulle kunna tillämpas. De grundläggande reglerna om sådana tvångsåtgärder finns i 15 kap. rättegångsbalken (RB), som handlar om bl.a. kvarstad i tvistemål. Kvarstadsreglerna bygger på vissa grundförutsättningar som inte är för handen i de aktuella fallen. Bl.a. krävs det att sökanden visar sannolika skäl för att vederbörande har en fordran eller bättre rätt till en viss egendom, och att den aktuella fordran eller rätten kan antas bli föremål för en rättegång eller prövning i en annan liknande ordning (15 kap. 1 och 2 §§ RB). Det finns också en möjlighet för domstolen att förordna om någon annan lämplig åtgärd för att säkerställa sökandens rätt, om sökanden visar sannolika skäl för att han eller hon har ett anspråk som är eller kan bli föremål för rättegång eller prövning i annan liknande ordning (15 kap. 3 § RB). Det handlar alltså om provisoriska åtgärder som vidtas i syfte att säkerställa att sökandens rätt inte går förlorad under en pågående tvistemålsprocess, eller innan en sådan process har påbörjats. Det sagda innebär att bestämmelserna inte utan vidare är tillämpliga på de situationer som det handlar om här. Däremot menar vi att själva tvångsmedlen till sitt innehåll är lämpliga för att fylla de behov som finns i de nu aktuella situationerna.
275
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
Det anförda talar starkt för att man skapar en möjlighet att använda tvångsmedlen i 15 kap. 1–3 §§ RB för att framtvinga efterlevnad av tillsynsmyndighetens förelägganden och förbud. Vi ser inte några betydande nackdelar med en sådan ordning, förutsatt att den får en lämplig utformning, och menar att den rentav är nödvändig för att man ska kunna förhindra skada för Sveriges säkerhet i vissa situationer. Det bör därför införas en bestämmelse i säkerhetsskyddslagen om att tvångsåtgärder enligt 15 kap. 1–3 §§ RB får användas om det behövs för att ändamålet med ett föreläggande eller förbud inte ska motverkas.
För att regler om tvångsåtgärder ska fungera är det dock nödvändigt att man föreskriver om de särskilda förutsättningar som ska gälla i de nu aktuella fallen. Man måste då klargöra bl.a. när tvångsmedlet får användas, på vems initiativ, vem som är behörig att fatta beslutet, vilka regler som ska gälla vid handläggningen och när tvångsmedlet ska upphöra. Vi diskuterar dessa och andra frågor i det följande.
6.12.2 Stockholms tingsrätt bör besluta om tvångsåtgärder
En första fråga är vem som ska vara behörig att fatta beslut om tvångsåtgärder. En möjlig lösning är att tillsynsmyndigheten ges en sådan behörighet och att beslutet sedan kan underställas domstolsprövning. Detta skulle likna vad som gäller i fråga om t.ex. beslag enligt de straffprocessuella reglerna (se 27 kap. RB). Beslutet om beslag fattas och verkställs enligt dessa regler normalt av de brottsbekämpande verksamheterna, medan den som drabbas av beslaget kan begära rättens prövning. Kvarstadsbeslut fattas emellertid alltid av rätten, oavsett om det är fråga om kvarstad i tvistemål (15 kap. RB) eller i brottmål (26 kap. RB). I brottmål har åklagaren möjlighet att ta egendom i förvar i avvaktan på rättens beslut om kvarstad. Vid fara i dröjsmål får även en polisman ta egendom i förvar. Eftersom vi har stannat för att göra det möjligt att använda tvångsmedlen i 15 kap. RB för att ändamålet med ett föreläggande eller förbud inte ska motverkas, anser vi det naturligt att beslutet fattas av en allmän domstol. De allmänna domstolarna har stor vana vid att hantera beslut om tvångsmedel och det innebär enligt vår mening en önskvärd rättssäkerhetsgaranti att beslutet fattas av just en domstol och inte av tillsynsmyndigheten själv.
276
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
Beslut om åtgärder enligt 15 kap. meddelas av den domstol där tvistemålet är anhängigt. Om rättegång inte pågår gäller i fråga om behörig domstol vad som är föreskrivet om tvistemål. Enligt vår mening är tvistemålsreglerna mindre väl ägnade att reglera frågan om forum i de fall som vi nu diskuterar. Det handlar om speciella mål som torde bli mycket sällsynta och som kan kräva viss specialisering. Målen kan ofta antas ha internationella inslag. Med hänsyn till det anförda bör målen koncentreras till en domstol som uttryckligen pekas ut i de aktuella bestämmelserna. Vi föreslår att Stockholms tingsrätt anges som ensam behörig domstol.
Konsekvensen av en sådan bestämmelse är att andra domstolar inte är behöriga att ta upp frågan, 10 kap. 7 § första stycket 2 RB. Rätten ska självmant pröva sin behörighet, vilket innebär att det inte krävs någon invändning från part för att en annan domstol än Stockholms tingsrätt ska avvisa käromålet (10 kap. 18 § RB jämförd med 34 kap. 1 § RB).
6.12.3 Tillsynsmyndigheten bör vara behörig att begära att tvångsåtgärder beslutas
Både fysiska och juridiska personer har möjlighet att väcka talan vid allmän domstol (11 kap. 2 § RB). De statliga myndigheterna är inte juridiska personer i sig själva utan anses som en del av den juridiska personen staten. Dock framgår det av 27 § myndighetsförordningen (2007:515) att myndigheten företräder staten vid domstol inom sitt verksamhetsområde. I förordningen (1995:1301) om handläggning av skadeståndsanspråk mot staten och i förordningen (1976:1021) om statliga kollektivavtal, m.m. finns särskilda bestämmelser om vem som för statens talan. Dessa har dock inte relevans i de aktuella fallen.
Vår bedömning är att tillsynsmyndigheterna måste anses behöriga att med stöd av 27 § myndighetsförordningen föra statens talan när det gäller de tvångsåtgärder som vi föreslår. Detta är dessutom en lämplig ordning, eftersom det är tillsynsmyndigheterna som har störst inblick i de aktuella ärendena och kunskap på respektive sakområde. För att det inte ska råda någon tvekan bör det anges direkt i nya säkerhetsskyddslagen att tvångsåtgärder får prövas på yrkande av tillsynsmyndigheten.
277
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
6.12.4 Övriga frågor om förfarandet
Som har framgått i det föregående är det själva tvångsmedlen i 15 kap. RB som enligt våra förslag bör göras tillämpliga när det behövs för att ändamålet med ett föreläggande eller förbud inte ska motverkas. Däremot bör de vanliga villkoren för tvångsmedlen inte gälla, eftersom de inte passar för de situationer som det nu handlar om. Inte heller övriga bestämmelser i 15 kap. bör tillämpas. Det bör sålunda inte ställas något krav på att talan ska väckas inom viss tid eller om ställande av säkerhet m.m. I stället bör det meddelas särskilda föreskrifter om vad som gäller i fråga om bl.a. handläggningen och åtgärdens upphörande.
När det gäller själva handläggningen framstår det som ändamålsenligt att i allt väsentligt hantera målen på samma sätt som vanliga kvarstadsfrågor som väcks utan att en rättegång är anhängig (jfr 15 kap. 5 § RB). Det innebär att rätten bör tillämpa samma regler som när en kvarstadsfråga väcks inom ramen för ett pågående tvistemål. Det betyder bl.a. att beslutet får verkställas genast (17 kap. 14 § RB) och överklagas särskilt (49 kap. 5 § RB).
Eftersom det handlar om en åtgärd som kan vara ingripande i förhållande till enskilda bör det gälla ett krav på att den ska upphöra så snart den inte längre behövs. I detta ligger att tillsynsmyndigheten ska underrätta domstolen så snart den bedömer att åtgärden inte längre är nödvändig. Det bör också krävas att rätten på eget initiativ omprövar åtgärden minst var fjärde vecka. Med hänsyn till de allvarliga konsekvenser som kan uppstå om åtgärden upphävs felaktigt bör det dock anges att den inte får upphävas utan att tillsynsmyndigheten har hörts. Behovs-, ändamåls- och proportionalitetsprinciperna gäller utan att det behöver föreskrivas särskilt. Dock är det lämpligt att inkludera tvångsåtgärder av det slag vi nu diskuterar i den av oss föreslagna proportionalitetsregeln.
Beslut om tvångsåtgärd bör få fattas även om det underliggande förbudet eller föreläggandet inte har fått laga kraft. I annat fall blir möjligheten alltför tandlös och det blir alltför lätt att undandra sig verkställighet.
278
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
6.13 Förslagens förhållande till egendomsskyddet och näringsfriheten samt rätten till ersättning
Bedömning: Förslagen är förenliga med regeringsformens och
Europakonventionens skydd av egendom liksom regeringsformens bestämmelse om näringsfrihet. Någon rätt till ersättning vid rådighetsinskränkning som grundas på säkerhetsskyddslagen bör inte införas.
Våra förslag i fråga om utkontraktering och upplåtelse skulle kunna ge upphov till inskränkningar i egendomsskyddet enligt regeringsformen och Europakonventionen liksom regeringsformens bestämmelse om näringsfrihet (se vidare framställningen i avsnitt 3.6.1– 3.6.3). Vi har fört vissa resonemang om detta tidigare i kapitlet. I det här avsnittet ser vi närmare på hur förslagen i detta kapitel förhåller sig till egendomsskyddet och näringsfriheten. Vi börjar med att undersöka hur förslagen förhåller sig till regeringsformen och övergår sedan till Europakonventionen.
Inskränkningar i regeringsformens egendomsskydd
I 2 kap. 15 § första stycket regeringsformen regleras två huvudtyper av ingrepp i äganderätten. Den första typen omfattar situationer där någon tvingas avstå egendom genom ”expropriation eller annat sådant förfogande”. Det är alltså fråga om att en förmögenhetsrätt – dvs. äganderätt eller annan rätt med ett ekonomiskt värde, t.ex. nyttjanderätt, servitut eller vägrätt – tvångsvis överförs eller tas i anspråk (prop. 2009/10:80 s. 163). Vi lämnar inga förslag som innebär att en förmögenhetsrätt tvångsvis överförs eller tas i anspråk.
Den andra typen av ingrepp som regleras i 2 kap. 15 § första stycket regeringsformen handlar om när det allmänna inskränker användningen av mark och byggnader, vilket brukar kallas rådighetsinskränkningar. Det kan vara fråga om exempelvis byggnadsförbud, användningsförbud och liknande åtgärder. I betänkandet Ersättning
vid rådighetsinskränkningar – vilka fall omfattas av 2 kap. 15 § tredje stycket regeringsformen och när ska ersättning lämnas? (SOU 2013:59
s. 11) anges att eftersom utgångspunkten är att den enskilde är fri att
279
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
råda över sin egendom är det en rådighetsinskränkning i regeringsformens mening när det allmänna, utan att ta egendomen i anspråk, hindrar en viss användning av densamma, t.ex. genom förbud och förelägganden eller genom att uppställa krav på tillstånd för viss verksamhet.
Eftersom bestämmelsen om rådighetsinskränkningar i 2 kap. 15 § första stycket regeringsformen inte omfattar inskränkningar i rätten att använda lös egendom ser vi att det i första hand är förslagen om upplåtelse som skulle kunna komma att aktualisera bestämmelsens tillämpning. Det kan exempelvis vara fråga om verksamhetsutövare som helt eller delvis hindras från att hyra ut en fastighet, byggnad eller utrymme till följd av tillsynsmyndighetens beslut om föreläggande eller förbud. Enligt vår mening kan det dock inte uteslutas att även andra av våra förslag kan få effekten att de inskränker användningen av mark eller byggnader. Så skulle kunna vara fallet när det gäller möjligheten för tillsynsmyndigheten att under vissa förutsättningar förelägga verksamhetsutövare att vidta nödvändiga åtgärder för att förhindra skada för Sveriges säkerhet, vilket utvecklas i avsnitt 6.9. Vår slutsats är alltså att förslagen i detta kapitel kan komma att utgöra inskränkningar i användningen av mark eller byggnad från det allmänna enligt vad som anges i bestämmelsen.
Enligt 2 kap. 15 § första stycket regeringsformen är vars och ens egendom tryggad genom att ingen kan tvingas tåla att det allmänna inskränker användningen av mark eller byggnad utom när det krävs för att tillgodose angelägna allmänna intressen. Det sista ledet i bestämmelsen innebär alltså att egendomen inte är ovillkorligt tryggad och att den kan inskränkas när det krävs för att tillgodose angelägna allmänna intressen. I förarbetena till bestämmelsen uttalades att det slutliga ställningstagandet till vad som är ett angeläget allmänt intresse får göras från fall till fall i enlighet med vad som kan anses vara acceptabelt i ett demokratiskt samhälle. Som exempel på angeläget allmänt intresse angavs totalförsvarsändamål (prop. 1993/94:117 s. 16 och 48).
Säkerhetsskyddslagens bestämmelser tar uteslutande sikte på Sveriges mest skyddsvärda verksamheter och verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Enligt vår mening står det därför klart att säkerhetsskyddet är ett sådant angeläget allmänt intresse som avses i 2 kap.
280
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
15 § första stycket regeringsformen. När det gäller exemplet i förarbetena om totalförsvarsändamål som ett angeläget allmänt intresse kan det nämnas att totalförsvarets verksamhet är en central del av säkerhetsskyddslagens skyddsområde, men att säkerhetsskyddet har en mer snäv inriktning än totalförsvaret eftersom säkerhetsskyddslagen bara gäller för verksamheter av betydelse för Sveriges säkerhet. För säkerhetsskyddslagens tillämpning räcker det inte med att en verksamhet är samhällsviktig (prop. 2017/18:89 s. 35, 39 och 41).
En grundläggande princip i svensk rätt är att en inskränkning från det allmännas sida av den enskildes rätt att använda sin egendom förutsätter att det finns en rimlig proportionalitet mellan vad det allmänna vinner och den enskilde går miste om på grund av inskränkningen (prop. 2002/03:110 s. 185). Den omständigheten att det är fråga om ett regelsystem som har till syfte att skydda det allra mest skyddsvärda talar i och för sig för att skälen för ingrepp i egendomsskyddet som regel kan antas väga mycket tungt. Vi föreslår dessutom att det uttryckligen ska framgå att beslut om förbud och förelägganden bara får fattas om det är proportionerligt. Vi menar därför att förslagen i betänkandet har utformats på sådant sätt att proportionalitetsprincipen kan tillgodoses vid tillsynsmyndigheternas beslutsfattande. Detsamma gäller i fråga om våra förslag om tvångsåtgärder (avsnitt 6.12).
Rätten till ersättning vid rådighetsinskränkning
En fråga som kan aktualiseras vid rådighetsinskränkningar är rätten till ersättning. Enligt huvudregeln i 2 kap. 15 § andra stycket regeringsformen ska ersättning tillförsäkras den för vilken det allmänna inskränker användningen av mark eller byggnad på sådant sätt att pågående markanvändning inom berörd del av fastigheten avsevärt försvåras eller att skada uppkommer som är betydande i förhållande till värdet på denna del av fastigheten. I paragrafens tredje stycke finns dock en undantagsbestämmelse som innebär att det vid inskränkningar i användningen av mark eller byggnad som sker av hälsoskydds-, miljöskydds- eller säkerhetsskäl gäller vad som följer av lag i fråga om rätt till ersättning. Eventuella inskränkningar i egendomsskyddet som följer av förslagen i detta betänkande kommer att ske av säkerhetsskäl eftersom säkerhetsskyddsregleringen handlar om
281
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
förebyggande åtgärder för att skydda Sveriges säkerhet. Det innebär i sin tur att det är undantagsbestämmelsen i 2 kap. 15 § andra stycket regeringsformen som är vår utgångspunkt när det gäller rätten till ersättning.
Undantagsbestämmelsen innebär att det ska göras en bedömning av om det bör finnas en rätt till ersättning när lagstiftning tas fram som medför rätt för det allmänna att inskränka användningen av mark eller byggnad av hälsoskydds-, miljöskydds- eller säkerhetsskäl (prop. 2009/10:80 s. 169 och 170). I propositionen som föregick undantagsbestämmelsens införande angavs att det var nödvändigt att se över den underliggande lagstiftningen för att ringa in fall där ersättning bör lämnas trots att ett ingripande skett av hälsoskydds-, miljöskydds- eller säkerhetsskäl. Vidare angavs att en utredning borde ges i uppdrag att närmare överväga frågan (prop. s. 168–170). Den utredning som följde gjorde bedömningen att det inte borde införas någon generell regel om när ersättning ska ges på grund av rådighetsinskränkningar som vidtas av hälsoskydds-, miljöskydds- eller säkerhetsskäl. Däremot pekade man på ett antal principer som går att härleda ur gällande rätt och som i lagstiftningsarbeten har varit styrande för om en rådighetsinskränkning ska förenas med en rätt till ersättning för den enskilde. Bland annat pekade utredningen på
proportionalitetsprincipen som vi behandlade i föregående avsnitt, att
inskränkningen ska ha stöd i en lag som är tillgänglig och tillräckligt tydlig för att göra ingreppet i äganderätten förutsebart och rättssäkert (rättssäkerhetsaspekten), att användningen av mark eller byggnad måste vara lagenlig för att en inskränkning ska grunda en rätt till ersättning (principen om lagenlighet) samt att det måste vara fråga om en pågående aktivitet som försvåras och att förväntningsvärden inte ska ersättas (kvalifikationskravet), se SOU 2013:59 s. 62–69 och 107.
Enligt vår mening har det inte framkommit några tungt vägande skäl för att ersättning ska utgå vid rådighetsinskränkningar som grundas på säkerhetsskyddsregleringen. För det första handlar merparten av våra förslag om förebyggande åtgärder som aktualiseras innan ett förfarande inleds, t.ex. en tilltänkt upplåtelse av en fastighet. Det är alltså som regel fråga om att på förhand pröva lämpligheten av ett visst förfarande snarare än att avbryta en pågående användning av mark eller byggnad. För det andra har våra förslag, som nämnts ovan, utformats på så sätt att proportionalitetsprincipen kan tillgodoses
282
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
när tillsynsmyndigheterna fattar beslut enligt säkerhetsskyddslagen. Vidare grundas eventuella rådighetsinskränkningar på att säkerhetsskyddslagens krav inte tillgodoses. Det kan t.ex. vara fråga om att ett planerat förfarande är olämpligt från säkerhetsskyddssynpunkt eller att en tillsynsmyndighet fattar beslut om åtgärdsföreläggande på grund av att verksamhetsutövaren inte följer en föreskrift. Slutligen är de rådighetsinskränkningar som kan beslutas enligt säkerhetsskyddsregleringen begränsade i den meningen att de är inriktade på ett visst förfarande, vilket kan jämföras med mer permanenta inskränkningar som t.ex. inrättande av naturreservat.
En särskild fråga är dock hur man bör se på ingripanden i pågående förfarande så som samarbeten, utkontrakteringar eller upplåtelser i enlighet med våra förslag i avsnitt 6.9. Utgångspunkten är att detta är en sorts ”nödbroms” som ska tillgripas endast när övriga förebyggande åtgärder inte har varit tillräckliga i ett enskilt fall, typiskt sett på grund av förhållanden som ändrats i efterhand. Möjligheten att meddela förelägganden med stöd av dessa regler bör användas restriktivt och vi utgår ifrån att det kommer att bli ovanligt att reglerna behöver tillämpas. Mer omfattande ingripanden som leder till att t.ex. ett avtalsförhållande måste avbrytas, torde bli oerhört sällsynta. Målet måste vara att verksamhetsutövarnas eget säkerhetsskyddsarbete – och då särskilt arbetet med säkerhetsskyddsanalys, särskild säkerhetsbedömning, lämplighetsprövning och säkerhetsskyddsavtal – bedrivs på ett sådant sätt att tillsynsmyndigheterna sällan behöver ingripa. Förfaranden som redan från början framstår som olämpliga bör i många fall kunna sållas bort under samrådsförfarandet, om inte redan verksamhetsutövaren själv har kommit fram till att förfarandet är olämpligt.
Med hänsyn till det anförda anser vi det inte befogat att i detta läge föreslå särskilda regler om en möjlighet till ersättning till verksamhetsutövare och andra som utan egen förskyllan har drabbats av skador till följd av ett föreläggande enligt våra förslag i avsnitt 6.9. Vi bedömer att det i stället är tillräckligt med den möjlighet som regeringen har att ex gratia besluta om ersättning i enskilda fall. Med ex gratia-ersättning avses ersättning som betalas utan att det finns någon rättslig ersättningsskyldighet. Formerna för ex gratia-ersättning är inte rättsligt reglerade. Det brukar vara fråga om situationer där förhållandena är exceptionella och kräver avvikelser från den
283
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
generella normen. I allmänhet aktualiseras ex gratia-ersättning i enskilda fall och de omständigheter som ligger till grund för ersättningen är då individuella (prop. 2017/18:64 s. 11).
Ovanstående innebär alltså att vi bedömer att det inte finns tillräckliga skäl för att införa en rätt till ersättning för den som drabbas av rådighetsinskränkningar till följd av våra förslag.
Inskränkningar i regeringsformens bestämmelse om näringsfrihet
I avsnitt 3.6.3 har vi redogjort för regeringsformens bestämmelse om näringsfrihet. Den innebär i korthet att begränsningar i rätten att driva näring eller utöva yrke endast får införas för att skydda angelägna allmänna intressen och aldrig i syfte att enbart ekonomiskt gynna vissa personer eller företag.
I den mån förslagen begränsar rätten att bedriva näringsverksamhet, vilket vi behandlar i det följande, så görs det efter en bedömning i det enskilda fallet. Vi lämnar alltså inte förslag på reglering som generellt begränsar möjligheten att bedriva viss typ av näring (jfr t.ex. prop. 2005/06:197). En annan omständighet som avgränsar våra förslag är de bara gäller för den som bedriver säkerhetskänslig verksamhet.
Våra förslag innebär att förfaranden som är olämpliga från säkerhetsskyddssynpunkt kan komma att förbjudas. Ett sådant förbud torde innebära att näringsfriheten inskränks eftersom rätten att bedriva näring faktiskt begränsas. Som nämnts ovan i avsnitt 6.8 är förbud mot ett planerat förfarande ett sistahandsalternativ när övriga möjligheter är uttömda eller bedöms som utsiktslösa. Vi utgår från att det kommer att bli mycket sällsynt med beslut om förbud. Likaså bedömer vi att åtgärder inom ramen för den tredje kontrollstationen, t.ex. ett föreläggande om att upphöra med en viss aktivitet, kommer att bli ovanliga.
Frågan är därefter om de begränsningar i näringsfriheten som vi föreslår avser ett angeläget allmänt intresse. I likhet med vad vi anfört ovan under rubriken Inskränkningar i regeringsformens egen-
domsskydd står det klart att säkerhetsskyddet är ett sådant angeläget
allmänt intresse som avses i 2 kap. 17 § första stycket regeringsformen som därmed kan motivera begränsningar i näringsfriheten
284
SOU 2018:82 Utkontraktering och upplåtelse av säkerhetskänslig verksamhet...
(prop. 1993/94:117 s. 15–16 och 51). När det gäller intresseavvägningen mellan säkerhetsskyddet, dvs. skyddet för det allra mest skyddsvärda, och den enskilde näringsidkarens intressen, så framstår begränsningen enligt vår mening som synnerligen angelägen och avvägd. Vidare har förslagen utformats med beaktande av proportionalitetsprincipen. Därför bedömer vi att våra förslag är förenliga med 2 kap. 17 § regeringsformen.
Inskränkningar i Europakonventionens egendomsskydd
I avsnitt 3.6.2 redogör vi för egendomsskyddet i Europakonventionen. Där anges att artikel 1 i första tilläggsprotokollet innehåller tre regler som avser olika former av ingrepp i egendom. Det är regeln om inskränkningar i rätten att nyttja egendom som kan aktualiseras genom förslagen i detta kapitel. Denna regel har Europadomstolen tolkat relativt strängt ur den enskildes perspektiv. Domstolen har bedömt att ganska omfattande inskränkningar av ägarens rättigheter har kunnat accepteras i det allmännas intresse.
19
Inskränkningar kan
komma till uttryck i form av krav på att innehavaren ska hantera egendomen på visst sätt eller genom att möjligheterna att använda egendomen begränsas.
20
Vidare har medlemsstaterna tillerkänts ett
relativt stort utrymme för att bedöma vilka inskränkningar som ter sig rimliga med hänsyn till allmänna intressen.
21
Även när det gäller
inskränkningar i rätten att nyttja egendom gäller dock att det allmännas intresse av en inskränkning beträffande den enskildes egendom står i proportion till den enskildes intresse. Om en rimlig balans inte uppnås strider inskränkning i rätten att utnyttja egendom mot artikel 1 i tilläggsprotokollet.
Det allmänna intresse som nu aktuella inskränkningar kan komma att grundas på är Sveriges säkerhet. Säkerhetsskydd handlar nämligen om förebyggande åtgärder för att skydda Sveriges säkerhet mot bl.a. spioneri, sabotage, terroristbrott och andra brott. Det är alltså fråga om ett synnerligen tungt vägande allmänt intresse. Som utvecklats ovan har våra förslag utformats på så sätt att proportionalitetsprincipen ska kunna tillgodoses när tillsynsmyndigheterna fattar
19 Se Danelius (2015), Mänskliga rättigheter i europisk praxis s. 595 och 596. 20 Se Harris, O'Boyle & Warbrick (2009), Law of the European Convention on Human Rights s. 687. 21 Se Danelius (2015), Mänskliga rättigheter i europisk praxis s. 596.
285
Utkontraktering och upplåtelse av säkerhetskänslig verksamhet... SOU 2018:82
beslut enligt säkerhetsskyddslagen. Som exempel kan nämnas att möjligheten att besluta om föreläggande och förbud för bl.a. utkontraktering och upplåtelse bara föreslås gälla i vissa särskilt angelägna situationer. Vidare föreslås att möjligheten att ingripa i ett pågående förfarande endast får tillgripas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.
Mot bakgrund av vad som nu anförts bedömer vi att förslagen i detta kapitel är förenliga med Europakonventionens egendomsskydd.
6.14 Bemyndiganden
Förslag: Regeringen eller den myndighet som regeringen bestäm-
mer får meddela ytterligare föreskrifter om handläggningen av ärenden om samråd, föreläggande, förbud och tvångsåtgärder.
Det finns i 5 kap. 5 § nya säkerhetsskyddslagen ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att med stöd av 8 kap. 7 § regeringsformen meddela verkställighetsföreskrifter avseende lagen. Vi bedömer att det därutöver finns ett behov av en möjlighet för regeringen eller den myndighet som regeringen bestämmer att fylla ut regleringen om handläggningen av ärenden om samråd, föreläggande, förbud och tvångsåtgärder med föreskrifter som inte enbart är verkställighetsföreskrifter. Det bör därför införas ett sådant bemyndigande sist i det nya kapitel där bestämmelserna om samråd m.m. förs in.
286
7 Överlåtelse av säkerhetskänslig verksamhet
7.1 Uppdraget
Bakgrunden till uppdraget
Frågan om överlåtelse av säkerhetskänslig verksamhet har hittills haft en relativt undanskymd roll i säkerhetsskyddslagstiftningen. I 16 § säkerhetsskyddsförordningen (1996:633), i det följande kallad
gamla säkerhetsskyddsförordningen, finns en bestämmelse om upplys-
ningsskyldighet för den myndighet som till en enskild avser att överlåta verksamhet som är av betydelse för rikets säkerhet eller som särskilt behöver skyddas mot terrorism. Upplysningsskyldigheten innebär att myndigheten ska upplysa den enskilde om att säkerhetsskyddslagen gäller för verksamheten. Bestämmelsen gäller inte för enskilda verksamhetsutövare, men däremot för kommuner och landsting (3 § gamla säkerhetsskyddsförordningen).
Den 1 april 2018 har det, i avvaktan på våra förslag, genom en ny bestämmelse i 16 § andra stycket gamla säkerhetsskyddsförordningen, införts även en anmälningsskyldighet vid överlåtelse av verksamhet som är av betydelse för rikets säkerhet eller som särskilt behöver skyddas mot terrorism. Bestämmelsen innebär att en statlig myndighet som avser att överlåta en sådan verksamhet ska anmäla det till tillsynsmyndigheten innan ett förfarande för överlåtelse inleds. Till skillnad från upplysningsskyldigheten gäller anmälningsskyldigheten bara statliga myndigheter och inte kommuner och landsting.
I promemorian Skärpt kontroll av statliga myndigheters utkontrak-
tering och överlåtelse av säkerhetskänslig verksamhet Ju 2017/07544/L4)
angavs bl.a. följande. Syftet med att komplettera upplysningsskyldigheten med en anmälningsskyldighet är att tillsynsmyndigheten tidigt ska få information om överlåtelsen och därigenom kunna ge
287
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
råd och stöd och säkerställa att säkerhetsskyddet för den säkerhetskänsliga verksamheten inte ska försämras i och med överlåtelsen. Det är fortfarande den myndighet som överlåter verksamheten som ansvarar för hur säkerhetsskyddet ska utformas i detalj. Tillsynsmyndighetens uppgift är primärt rådgivande och det bör inte ingå i dess uppdrag att i detalj föreslå vilka skyddsåtgärder som ska vidtas. Anmälningsskyldigheten innebär att tillsynsmyndigheterna får större kontroll över var säkerhetskänslig verksamhet bedrivs även efter en verksamhetsöverlåtelse. Förslaget medför alltså bättre förutsättningar för tillsynsmyndigheterna att kontrollera att säkerhetsskyddet upprätthålls efter att en verksamhet har överlåtits. Förslaget innebär dessutom en markering av att säkerhetsskyddet måste uppmärksammas särskilt i samband med en överlåtelse av säkerhetskänslig verksamhet (s. 17).
Bestämmelser om anmälnings- och upplysningsskyldighet har också tagits in i den nya säkerhetsskyddsförordningen (2018:658), i det följande kallad nya säkerhetsskyddsförordningen. I 2 kap. 9 § första stycket denna förordning anges att den som avser att överlåta säkerhetskänslig verksamhet till en enskild ska anmäla det till tillsynsmyndigheten innan ett förfarande för överlåtelse inleds. Jämfört med motsvarigheten i 16 § andra stycket gamla säkerhetsskyddsförordningen har bestämmelsen utvidgats på så sätt att den inte längre bara gäller statliga myndigheter utan också kommuner, landsting och enskilda. I andra stycket i samma paragraf finns bestämmelsen om upplysningsskyldighet. Även denna gäller alla verksamhetsutövare. Bestämmelsen har förtydligats på så sätt att det inte bara anges att verksamhetsutövaren ska upplysa den enskilde om att säkerhetsskyddslagen (2018:585), i det följande kallad nya säkerhetsskyddslagen, gäller för verksamheten. Verksamhetsutövaren ska också påminna om de skyldigheter som enligt 2 kap. 1 § nya säkerhetsskyddslagen gäller för den som är ansvarig för en säkerhetskänslig verksamhet. Förvärvaren ska alltså påminnas om skyldigheten att bl.a. göra en säkerhetsskyddsanalys och att planera och vidta de säkerhetsskyddsåtgärder som behövs.
288
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
Uppdraget
Vi har fått i uppdrag att utreda hur överlåtelser av säkerhetskänslig verksamhet ska hanteras i säkerhetsskyddslagen. De förslag vi lämnar ska komplettera förslagen i betänkandet En ny säkerhetsskyddslag (SOU 2015:25). Närmare bestämt ska vi
• kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med överlåtelse av sådan verksamhet,
• utifrån kartläggningen föreslå olika förebyggande åtgärder, och
• utarbeta nödvändiga författningsförslag.
Enligt direktiven kan det finnas behov av åtgärder för att förebygga risker för Sveriges säkerhet när verksamhetsutövare överväger att genomföra överlåtelser. Bestämmelserna om hur överlåtelser av säkerhetskänslig verksamhet ska hanteras behöver enligt direktiven ses över. Exempel på åtgärder som lyfts fram är krav på en särskild bedömning av verksamhetens betydelse för annan skyddsvärd verksamhet och möjligheter för staten att ingripa om överlåtelsen kan antas inverka negativt på Sveriges säkerhet. Både överlåtelse av hela eller delar av verksamheter och överlåtelse av viss egendom bör enligt direktiven omfattas. Det ingår inte i uppdraget att överväga ändringar i grundlag.
En ny säkerhetsskyddslag och en ny säkerhetsskyddsförordning träder i kraft den 1 april 2019. Vi förhåller oss genomgående till den nya regleringen, om inte annat sägs.
I direktiven används uttrycket ”risker för Sveriges säkerhet”. Eftersom ordet risk i dessa sammanhang oftast används i en annan bemärkelse har vi dock valt att använda andra uttryck, såsom hot, sårbarhet eller negativa konsekvenser, se vidare i avsnitt 2.2. Vi använder dock oftast ordet ”risk” när vi hänför oss till det som sägs i direktiven.
Förhållandet till våra övriga förslag
I detta avsnitt undersöker vi hur våra övriga förslag förhåller sig till vårt uppdrag om förebyggande åtgärder vid överlåtelse av säkerhetskänslig verksamhet och viss egendom.
289
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
I kapitel 5 föreslår vi att skyldigheten att ingå säkerhetsskyddsavtal utökas från att endast gälla vid upphandlingssituationer till att som utgångspunkt omfatta all samverkan med utomstående aktörer som innebär att den utomstående aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet. Med ett samlat uttryck beskriver vi denna situation på så sätt att uppgifterna eller verksamheten exponeras för utomstående. En förutsättning för att skyldigheten att ingå säkerhetsskyddsavtal ska inträda är dock att den utomstående parten genom det aktuella förfarandet kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller över, eller i övrigt tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Vi föreslår att samverkan mellan statliga myndigheter som avser annat än en anskaffning av varor, tjänster eller byggentreprenader ska undantas från skyldigheten att ingå säkerhetsskyddsavtal och att regeringen ska kunna både föreskriva och i enskilda fall besluta om undantag.
Syftet med säkerhetsskyddsavtalet är att under den tid som avtalet är i kraft slå vakt om att verksamhetsutövarens skyddsvärden upprätthålls hos den utomstående parten. Säkerhetsskyddsavtalet kan liknas vid ett hölje som ska omsluta det skyddsvärda hos den utomstående parten under den tid som samverkan pågår. När samverkan är avslutad ska verksamhetsutövaren säga upp säkerhetsskyddsavtalet.
Hur förhåller sig då förslagen om säkerhetsskyddsavtal till vårt uppdrag om förebyggande åtgärder i samband med att en verksamhetsutövare avser att överlåta en säkerhetskänslig verksamhet? Vi bedömer att olika former av samverkan inför överlåtelser av säkerhetskänslig verksamhet kan medföra exponering av säkerhetsskyddsklassificerade uppgifter och i övrigt säkerhetskänslig verksamhet. Det kan till exempel vara fråga om due diligence-processer
1
eller förhandlingar om
värdet på vissa tillgångar i verksamheten. Skyldigheten att ingå säkerhetsskyddsavtal torde därför ofta aktualiseras inför överlåtelser av säkerhetskänslig verksamhet. Därför ska den kartläggning och de förebyggande åtgärder som vi lägger fram om överlåtelse av säkerhetskänslig verksamhet ses i ljuset av och läsas tillsammans med förslagen om skyldigheten att ingå säkerhetsskyddsavtal.
1 Med due diligence avses ett förfarande för att samla in och analysera information om ett företag bl.a. inför ett företagsförvärv. Motsvarande förfarande kan även användas inför förvärv av egendom, produkter, utvecklingsprojekt eller intellektuell egendom.
290
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
Det bör framhållas här att skyldigheten att ingå säkerhetsskyddsavtal enligt våra förslag enbart gäller när det är verksamhetsutövaren – t.ex. en myndighet eller ett bolag – som avser att sluta ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående. Våra förslag omfattar alltså inte situationen att t.ex. en majoritetsaktieägare i ett bolag planerar att överlåta sina aktier. I ett sådant fall är det nämligen inte verksamhetsutövaren som inleder en samverkan med en utomstående aktör.
Avgränsning av vårt uppdrag
Uppdraget handlar om verksamhetsöverlåtelser och viss egendom
Nästa fråga är vilka överlåtelser som omfattas av vårt uppdrag. I våra direktiv nämns risker i samband med att en verksamhetsutövare överlåter säkerhetskänslig verksamhet eller delar av en sådan verksamhet. Om det är fråga om en enskild verksamhetsutövare kan en sådan överlåtelse t.ex. ske genom en överlåtelse av aktierna i ett helägt dotterbolag, andelar eller inkråm. Med inkråmsaffär avses vanligen att ett företag överlåter hela eller delar av verksamheten utan att man för den skull överlåter samtliga aktier eller andelar i företaget. Situationen då en verksamhet som bedrivs i offentlig regi övergår till att bedrivas i enskild regi får i sammanhanget också betraktas som en verksamhetsöverlåtelse och därmed omfattas av vårt uppdrag. För en sådan tolkning talar även den omständigheten att 16 § gamla säkerhetsskyddsförordningen gäller just då en myndighet avser att överlåta verksamheten till en enskild. När vi talar om överlåtelser avser vi alltså även denna situation.
I direktiven nämns vidare att överlåtelse av viss egendom omfattas av vårt uppdrag. Vilken typ av egendom som avses utvecklas inte men mot bakgrund av vår tolkning av uppdraget förstår vi det som att det måste handla om egendom som har betydelse för Sveriges säkerhet och ingår i den säkerhetskänsliga verksamheten.
291
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
Förebyggande åtgärder bör inte riktas mot förvärvare
En central fråga i vårt uppdrag är vem som våra förslag på förebyggande åtgärder bör rikta sig mot. Den nya säkerhetsskyddslagen gäller för den som till någon del bedriver säkerhetskänslig verksamhet. Lagen bygger på att det är verksamhetsutövaren som bär ansvaret för att uppfyllda de krav som uppställs i lagen och i föreskrifter som meddelats med stöd av lagen. Kraven riktar sig i princip uteslutande till verksamhetsutövaren och ansvaret för att identifiera och bedöma behovet av säkerhetsskydd är knutet till den som bedriver verksamheten (prop. 2017/18:89 s. 43). Denna inriktning avspeglas också i direktiven, där det talas om behov av förebyggande åtgärder i situationer när en verksamhetsutövare överväger att överlåta hela eller delar av den säkerhetskänsliga verksamheten eller viss egendom. Det anförda talar starkt för att de förebyggande åtgärder som vi ska föreslå rörande överlåtelse i första hand bör riktas mot verksamhetsutövare enligt säkerhetsskyddslagen. En sådan ordning passar in i säkerhetsskyddslagens struktur och är väl förenlig med våra förslag om förebyggande åtgärder vid bl.a. utkontraktering (se kapitel 6). Bestämmelser som riktar sig till en tilltänkt förvärvare av säkerhetskänslig verksamhet eller egendom skulle däremot inte passa in i säkerhetsskyddslagen.
Aktie- och andelsägare bör omfattas
En nackdel med en reglering om förebyggande åtgärder som enbart gäller för verksamhetsutövaren är att den inte passar för alla situationer där en säkerhetskänslig verksamhet överlåts till någon utomstående. Den kan visserligen göras tillämplig på alla relevanta situationer där verksamhetsutövaren förfogar över överlåtelsen, t.ex. när en myndighet privatiserar en viss del av sin verksamhet eller där ett bolag säljer inkråmet i verksamheten. Men den skulle normalt inte bli tillämplig vid överlåtelse av aktier eller andelar i bolag. Aktierna eller andelarna i ett bolag ägs nämligen normalt inte av bolaget självt.2 I bolag är det alltså inte bolaget som har att fatta beslut om överlåtelse av aktierna, utan sådana beslut fattas av var och en av aktieägarna. Den skulle förmodligen inte heller träffa situationer där ett moderbolag vill sälja ett helägt dotterbolag som bedriver säkerhetskänslig verksamhet,
2 Som huvudregel får ett aktiebolag varken teckna eller förvärva egna aktier, se 19 kap. aktiebolagslagen (2005:551).
292
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
eftersom det i den situationen inte torde vara moderbolaget som är att anse som verksamhetsutövaren. En reglering som inte alls träffar de angivna situationerna framstår som otillfredsställande, eftersom många fall av överlåtelser av säkerhetskänslig verksamhet skulle falla utanför tillämpningsområdet. Detta innebär i sin tur att risken för kringgående av regleringen ökar.
Med hänsyn till det anförda gör vi bedömningen att även situationer där enskilda aktieägare eller andelsägare avser att överlåta sina aktier eller andelar, som utgångspunkt bör omfattas av en reglering om förebyggande åtgärder, även om de inte är verksamhetsutövare enligt säkerhetsskyddslagen. De skyldigheter som kan komma att gälla för en verksamhetsutövare bör alltså åtminstone delvis gälla för dem, enligt vad vi utvecklar nedan. Vi bedömer att detta har så stora fördelar från säkerhetsskyddssynpunkt att det får accepteras att man ruckar något på säkerhetsskyddslagens systematik för att fånga in vissa angelägna situationer.
Vi anser det oproblematiskt att ålägga en bolagsman i ett handelsbolag vissa skyldigheter i samband med en överlåtelse av dennes andel i bolaget. En bolagsman i ett handelsbolag har regelmässigt en nära koppling till bolagets verksamhet och har också kontroll över vilka som ingår i bolaget. För att en ny bolagsman ska få inträda i ett handelsbolag fordras nämligen samtycke av samtliga bolagsmän (2 kap. 2 § lagen [1980:1102] om handelsbolag och enkla bolag). Detsamma gäller i enkla bolag (2 kap. 2 § samma lag). Till skillnad från handelsbolag är enkla bolag över huvud taget inte juridiska personer, och kan alltså inte förvärva rättigheter, ikläda sig skyldigheter eller föra talan inför domstolar och andra myndigheter. Att den bolagsman som vill överlåta sin andel i ett handelsbolag eller enkelt bolag ska omfattas av en reglering om förebyggande åtgärder i samband med bl.a. verksamhetsöverlåtelser framstår mot denna bakgrund som okontroversiellt. I enkla bolag följer detta redan av att bolagsmännen torde vara att anse som verksamhetsutövare, eftersom bolaget inte är en juridisk person.
Även när det gäller privata aktiebolag anser vi det relativt oproblematiskt att ålägga en aktieägare särskilda skyldigheter inför en överlåtelse. Aktiebolagslagen (2005:551) bygger visserligen på principen att aktier kan överlåtas och förvärvas fritt, men det är tillåtet att i lag begränsa överlåtbarheten (4 kap. 7 § första stycket aktiebolagslagen). En aktieägare i ett privat aktiebolag får ofta antas ha en sådan
293
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
koppling till bolagets verksamhet att det är rimligt att förvänta sig att han eller hon är medveten om att någon del av verksamheten är säkerhetskänslig, och i annat fall att styrelsen kan underrätta aktieägarna om detta. Vi anser därför att det skulle vara förenligt med aktiebolagslagen att införa regler som innebär vissa begränsningar av möjligheten att fritt överlåta aktier i ett privat aktiebolag som bedriver säkerhetskänslig verksamhet. En sådan reglering skulle bl.a. träffa moderbolag som valt att bedriva säkerhetskänslig verksamhet i ett helägt privat dotterbolag.
Saken ter sig annorlunda när den säkerhetskänsliga verksamheten bedrivs av ett publikt aktiebolag, dvs. ett aktiebolag som får erbjuda sina aktier på den öppna marknaden, och i synnerhet bolag vars aktier omsätts på en marknadsplats (en handelsplattform eller börs). Kännetecknande för ett publikt aktiebolag är att det kan finnas ett stort antal aktieägare som kan vara fysiska eller juridiska personer. Aktieägarkollektivet i ett sådant bolag kan bestå av allt från privata småsparare till pensionsförvaltare och fondbolag och de har i normalfallet svag eller ingen direkt koppling till verksamheten i bolaget. Det kan inte ens förutsättas att aktieägarna alltid är medvetna om att bolaget i fråga bedriver säkerhetskänslig verksamhet. Det framstår därför inte som rimligt eller rationellt att ställa särskilda krav på enskilda aktieägare som vill överlåta sina aktier i ett publikt aktiebolag som bedriver säkerhetskänslig verksamhet och i synnerhet inte om dess aktier omsätts på en marknadsplats. En reglering som träffar aktier som omsätts på en marknadsplats aktualiserar också det komplicerade regelverk som gäller på finansmarknaden, och vilket bygger på att akterna kan omsättas fritt. Vidare handlar det om ett mycket stort antal överlåtelser, många gånger av små innehav. Om regleringen går ut på att t.ex. tillsynsmyndigheterna ska kopplas in – vilket vi anser (se vidare våra överväganden i avsnitt 7.10) – skulle den dessutom ge upphov till ohanterligt många ärenden hos dessa myndigheter. Med hänsyn till det anförda gör vi bedömningen att en reglering som går ut på att det ställs särskilda krav på en överlåtare inte bör gälla den som äger aktier i publika aktiebolag.
Det bör i sammanhanget påpekas att det för närvarande pågår ett arbete med en EU-förordning om upprättande av en ram för granskning av utländska direktinvesteringar i Europeiska unionen. Om det i Sverige ska införas ett system med granskning av förvärv av aktier som omsätts på en marknadsplats framstår det som lämpligast att
294
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
frågan hanteras i samband med att man överväger hur Sveriges reglering bör förhålla sig till den nya EU-förordningen.
Uppdraget avser inte bara utländska förvärv
Direktiven ställer inte upp några begränsningar för vårt uppdrag när det gäller vem som avser att förvärva den säkerhetskänsliga verksamheten. Vi uppfattar därmed att vår kartläggning och våra förslag på förebyggande åtgärder bör utgå ifrån att det kan vara fråga om förvärvare i såväl Sverige som i utlandet.
Uppdraget i jämförelse med utländska regelverk
Vid en internationell utblick kan man skönja två huvudsakliga mekanismer för att angripa frågor om förvärv av eller investeringar i verksamheter som rör nationell säkerhet, nämligen kontroll av ägarskap och kontroll av förvärv. Även om mekanismerna vid en första anblick kan verka identiska så uppvisar de stora skillnader när det gäller räckvidd. Kontroll av förvärv omfattar som regel inte situationen då en verksamhet förvärvas och därefter ändrar karaktär till att bli säkerhetskänslig. Motsvarande gäller när verksamhetens karaktär i och för sig inte ändras men där uppfattningen av vad som är säkerhetskänsligt ändras som en följd av ett förändrat omvärldsläge. Kontroll av ägarskap är däremot inriktad på vem som får bedriva viss verksamhet.
3
Vårt uppdrag handlar om att förbygga risker för Sveriges säkerhet när en verksamhetsutövare överlåter säkerhetskänslig verksamhet. Uppdraget omfattar däremot enligt vår tolkning inte frågan om vem som ska få äga eller bedriva säkerhetskänslig verksamhet, även om dessa frågor kan vara en del i en prövning i samband med en överlåtelse.
3 Investment Policies Related to National Security: A Survey of Country Practices, OECD Working Papers on International Investment, 2016/02 s. 18–19.
295
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
7.2 Förhållandet till angränsande utredningar och reglering
Som vi utvecklat i avsnitt 6.2 pågår det parallellt med den här utredningen ett antal utredningar som har att överväga frågor som angränsar till vårt uppdrag. Det som vi där har anfört om förhållandet till utredningen om förbättrat skydd för totalförsvarsverksamhet gäller även i de frågor som behandlas i detta kapitel. Även det som vi där har anfört om förhållandet mellan säkerhetsskyddslagen och områdesregleringar har samma relevans för våra överväganden i detta kapitel. I dessa delar hänvisar vi därför till avsnitt 6.2. Våra överväganden i det här kapitlet ger särskild anledning till vissa resonemang om hur vårt uppdrag förhåller sig till förslaget till ramverk inom EU för granskning av utländska direktinvesteringar.
Under hösten 2017 lade Europeiska kommissionen fram ett förslag till förordning om upprättande av en ram för granskning av utländska direktinvesteringar i Europeiska unionen.
4
Med utländsk direkt-
investering avses i förslaget en investering av vilket slag som helst som görs av en utländsk investerare för att etablera eller upprätthålla varaktiga och direkta förbindelser mellan den utländska investeraren och den företagare för vilken eller det företag för vilket kapitalet görs tillgängligt i syfte att bedriva en ekonomisk verksamhet i en medlemsstat, inbegripet investeringar som möjliggör ett faktiskt deltagande i ledningen eller styrningen av ett företag som bedriver en ekonomisk verksamhet.
Bakgrunden till förslaget är en oro över att utländska investerare, bl.a. statsägda företag, av strategiska skäl tar över europeiska företag med nyckelteknik och att EU:s investerare ofta inte åtnjuter samma rätt att investera i det land där investeringen har sitt ursprung. Målet med den föreslagna förordningen är att inrätta en ram för medlemsstaterna och, i vissa fall, kommissionens granskning av utländska direktinvesteringar i EU. Samtidigt är tanken att medlemsstaterna ska kunna fortsätta att beakta sin egen situation och sina egna omständigheter. Förslaget innebär inte något krav på att medlemsstater ska anta eller behålla ett system för granskning av utländska direktinvesteringar. Det syftar i stället till att inrätta en möjliggörande ram för de medlemsstater som har eller vill inrätta ett granskningssystem, och att säkerhetsställa att sådana granskningssystem uppfyller vissa
4 Bryssel den 13 september 2017, COM(2017) 487 final, 2017/0224 (COD).
296
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
grundläggande krav, exempelvis möjlighet till rättslig prövning av beslut, icke-diskriminering mellan olika tredjeländer och transparens. Förslaget kringskär inte heller medlemsstaternas rätt att själva besluta om vilka utländska direktinvesteringar man tillåter på sitt territorium. Förordningen syftar vidare till att inrätta en samarbetsstruktur mellan medlemsstaterna och kommissionen så att de kan informera varandra om sådana utländska direktinvesteringar som kan hota säkerhet eller allmän ordning och utbyta uppgifter om detta.
Förordningen är ännu inte beslutad, varför det inte är möjligt att dra några helt säkra slutsatser om hur våra förslag i detta kapitel förhåller sig till förordningen. Oavsett hur förordningen slutligen utformas bör det dock framhållas att säkerhetsskyddsregleringen enbart har till syfte att skydda Sveriges säkerhet. Det är alltså inte en reglering som syftar till att skydda eller främja svenska ekonomiska intressen, svensk handel, svensk konkurrenskraft eller några andra svenska intressen än just landets säkerhet. Nationell säkerhet är ett av de områden som enligt fördraget om Europeiska unionen ligger helt inom medlemsstaternas kompetens. Våra direktiv handlar om överlåtelser generellt, och inte specifikt om överlåtelser till utländska aktörer. Även våra förslag bygger på denna premiss. Med hänsyn till det anförda bedömer vi att det finns rättsliga förutsättningar att gå fram med nationella förslag om överlåtelse av säkerhetskänslig verksamhet.
7.3 Viss relevant reglering
7.3.1 Säkerhetsskyddsregleringen om överlåtelser
I 2 kap. 9 § första stycket nya säkerhetsskyddsförordningen finns en anmälningsskyldighet för den som avser att överlåta säkerhetskänslig verksamhet till en enskild. Enligt bestämmelsen ska en anmälan göras till den berörda tillsynsmyndigheten innan ett förfarande för överlåtelse inleds. I paragrafens andra stycke finns en bestämmelse om upplysningsskyldighet, vilken innebär att den verksamhetsutövare som överlåter verksamheten ska upplysa den enskilde om att säkerhetsskyddslagen gäller för verksamheten. Verksamhetsutövaren ska också påminna den enskilde om de skyldigheter som enligt 2 kap. 1 § säkerhetsskyddslagen gäller för den som är ansvarig för en säkerhetskänslig verksamhet. Även om skrivningen i paragrafens första stycke
297
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
är något otydlig måste den, med hänsyn till utformningen av andra stycket, förstås på så sätt att den enbart träffar en verksamhetsutövare som överlåter en verksamhet och att den inte gäller t.ex. en vanlig aktieägare som överlåter sitt aktieinnehav i det bolag som bedriver verksamheten.
Varken den gamla eller den nya säkerhetsskyddsregleringen ger tillsynsmyndigheten några befogenheter att ingripa inför eller efter överlåtelser av verksamhet som omfattas av lagstiftningen. I säkerhetsskyddslagstiftningen regleras inte heller under vilka förutsättningar som överlåtelse av säkerhetskänslig verksamhet får ske.
7.3.2 Skyddet för enskildas rättigheter
Vi har i avsnitt 3.6 redogjort för vissa bestämmelser om skyddet för enskildas rättigheter. Framställningen om egendomsskyddet, näringsfriheten och rätten till domstolsprövning är relevant även när det gäller de frågor som vi behandlar i detta kapitel. Vi hänvisar därför till framställningen i det nyssnämnda avsnittet.
7.3.3 Angränsande nationell reglering
Det finns viss annan reglering som innehåller bestämmelser som på olika sätt innebär begränsningar i möjligheter att överlåta eller förvärva viss egendom. Ett exempel är lagen (1992:1300) om krigsmateriel. Enligt 7 § lagen om krigsmateriel får svenska myndigheter, svenska företag samt den som är bosatt eller stadigvarande vistas här, inte här i landet eller utom landet utan tillstånd ingå avtal som innebär upplåtelse eller överlåtelse av tillverkningsrätt till någon i utlandet. Tillverkningsrätt innebär enligt 2 § samma lag varje rätt att tillverka krigsmateriel. Enligt 13 § samma lag får tillstånd för tillverkning av krigsmateriel samt tillstånd för tillhandahållande av bl.a. krigsmateriel och metoder för framställning förenas med villkor om att endast en viss andel av aktierna, direkt eller indirekt, får ägas av utländska rättssubjekt. Bestämmelsen syftar till att tillgodose kontrollen över utländskt ägande av den svenska försvarsindustrin (prop. 1991/92:174 s. 65–68) och får ses som en form av ägarskapskontroll.
298
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
Ett annat exempel är jordförvärvslagen (1979:230) som innebär att det i många fall krävs förvärvstillstånd för fysiska personer som har förvärvat en lantbruksegendom i ett glesbygdsområde i en kommun där personen inte är bosatt. För juridiska personer krävs alltid förvärvstillstånd (4 och 6 §§jordförvärvslagen). Syftet med lagen är bl.a. att främja uppbyggandet och vidmakthållandet av effektiva familjeföretag och att främja stukturrationalisering inom jordbruket och skogsbruket. Förvärvet blir enligt 11 § jordförvärvslagen ogiltigt om förvärvstillstånd vägras eller om ansökan om förvärvstillstånd inte görs inom föreskriven tid och på föreskrivet sätt. Om ett köp blir ogiltigt till följd av att förvärvstillstånd vägras enligt 7 § är staten skyldig att lösa egendomen till det pris som har avtalats, om säljaren begär det. En sådan skyldighet gäller dock inte, om köpeskillingen eller annan ersättning inte endast obetydligt överstiger egendomens värde med hänsyn till dess avkastning och övriga omständigheter eller om avtalsvillkoren i övrigt är oskäliga (12 § jordförvärvslagen).
I 4 kap. konkurrenslagen (2008:579) finns bestämmelser om att företagskoncentrationer ska förbjudas i vissa fall. En företagskoncentration uppstår enligt 1 kap. 9 § konkurrenslagen om kontrollen av företag varaktigt förändras till följd av att två eller flera tidigare självständiga företag slås samman, eller att antingen en eller flera personer, som redan kontrollerar minst ett företag, eller också ett eller flera företag genom förvärv av värdepapper eller tillgångar, genom avtal eller på annat sätt direkt eller indirekt får kontroll över ett eller flera företag eller delar därav. Enligt 4 kap. 1 § konkurrenslagen ska förbud meddelas om koncentrationen är ägnad att påtagligt hämma förekomsten eller utvecklingen av en effektiv konkurrens inom landet i dess helhet eller en avsevärd del av det. Om det är tillräckligt för att undanröja de skadliga effekterna av en företagskoncentration kan ålägganden i stället meddelas enligt 4 kap. 2 §. Ett förbud mot en företagskoncentration innebär att en rättshandling som utgör en del i företagskoncentrationen eller som har till syfte att genomföra koncentrationen därefter blir ogiltig (4 kap. 3 § konkurrenslagen). Vad som avses med detta utvecklas närmare i förarbetena (prop. 2007/08:135 s. 197 och 266). Ogiltigheten gäller inte sådana rättshandlingar som utgörs av förvärv som har skett på en reglerad marknad som avses i 1 kap. 4 b § lagen (2007:528) om värdepappersmarknaden, en motsvarande marknad utanför Europeiska ekonomiska samarbetsområ-
299
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
det eller en MTF-plattform som avses i 1 kap. 4 b § lagen om värdepappersmarknaden eller genom inrop på exekutiv auktion. I sådana fall får förvärvaren i stället åläggas att avyttra det som har förvärvats.
Ytterligare ett exempel finns i 3 kap. 23 § lagen (2003:389) om elektronisk kommunikation, där det finns bestämmelser om överlåtelse av tillstånd eller del av tillstånd att använda radiosändare eller nummer. Det är Post- och telestyrelsen som prövar om överlåtelser ska medges eller inte utifrån de villkor som anges i paragrafens första stycke. Vid medgivandet får myndigheten meddela de nya eller ändrade villkor som överlåtelsen föranleder. En överlåtelse i strid med paragrafen är utan verkan.
Upphävd reglering
Det finns slutligen anledning att nämna att det tidigare funnits viss reglering om utländska förvärv av svenska företag och fast egendom. Lagen (1982:617) om utländska förvärv av svenska företag m.m. och den tillhörande förordningen (1982:878) om utländska förvärv av svenska företag m.m. upphävdes den 1 januari 1992. Regelverket innehöll begränsningar i rätten för utländska rättssubjekt, och vissa svenska rättssubjekt, att förvärva aktier i svenska aktiebolag, andelar i svenska handelsbolag eller rörelser som bedrevs i Sverige. Systemet byggde på att rätten att förvärva aktier eller andelar i svenska bolag gjordes beroende av förvärvstillstånd. Kretsen tillståndspliktiga förvärvare bestämdes till vissa särskilt utpekade kontrollsubjekt (3 och 7 §§ lagen om utländska förvärv av svenska företag m.m.). Förvärvstillstånd skulle sökas av förvärvaren senast en månad efter att förvärvet skett. Förvärvstillstånd som inte söktes inom föreskriven tid och på föreskrivet sätt eller vägrades, medförde att förvärvet blev ogiltigt (10 och 11 §§ lagen).
Ett motsvarande system för förvärv av fast egendom fanns genom lagen (1982:618) om utländska förvärv av fast egendom m.m. Denna lag upphävdes den 31 december 1992.
7.4 Nordisk reglering
Vi har i kapitel 4 redogjort för den relevanta regleringen i Norge, Finland och Danmark. Vi hänvisar till den framställningen.
300
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
7.5 Problembeskrivning
Vi har i uppdrag att kartlägga behovet av åtgärder som förebygger att risker uppstår i samband med att verksamhetsutövare överlåter säkerhetskänslig verksamhet eller viss egendom. Vi börjar kartläggningen med en beskrivning av de problem som vi menar kan finnas i samband med sådana överlåtelser. Problembeskrivningen bygger på det skriftliga material som vi redovisar och på vad som framkommit vid våra möten med myndigheter, enskilda och utredningens experter.
7.5.1 Överlåtelser av säkerhetskänslig verksamhet kan medföra ökade sårbarheter för Sveriges säkerhet
Syftet med detta avsnitt är att introducera problematiken med överlåtelser av säkerhetskänslig verksamhet och de sårbarheter som sådana överlåtelser typiskt sett kan medföra för Sveriges säkerhet.
En viktig utgångspunkt i sammanhanget är att överlåtelser som regel innebär att förvärvaren permanent övertar kontrollen över den säkerhetskänsliga verksamheten och dess eventuella säkerhetsskyddsklassificerade uppgifter. Till skillnad från utkontraktering och upplåtelse av säkerhetskänslig verksamhet medför således en överlåtelse – om något annat inte avtalas – att den som tidigare bedrivit verksamheten förlorar möjligheten att påverka hur den säkerhetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna kommer att användas efter överlåtelsen. Vi kommer att utveckla detta nedan, men vi kan alltså redan nu konstatera att överlåtelser kan medföra andra konsekvenser än vad som är fallet vid t.ex. utkontraktering och upplåtelse av säkerhetskänslig verksamhet.
För att illustrera problematiken i samband med överlåtelser av säkerhetskänslig verksamhet inleder vi med exempel från försvarsoch säkerhetssektorn. Inspektionen för strategiska produkter (ISP) har noterat att vissa länder har en uppköpsstrategi som är inriktad mot ägande i svenska företag som tillverkar eller säljer strategiskt viktiga produkter med dubbla användningsområden.
5
Produkter
med dubbla användningsområden definieras inom EU som produkter, inbegripet programvara och teknik, som kan användas för både civila
5 Inspektionen för strategiska produkters remissvar den 18 december 2017 med dnr 2017-7.5.2-0012 angående Europaparlamentets och rådets förordning om upprättande av en ram för granskning av utländska direktinvesteringar i Europeiska Unionen, KOM (2017) 487.
301
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
och militära ändamål, samt alla varor som kan användas både för icke-explosiva ändamål och för att på något sätt bidra vid tillverkning av kärnvapen eller andra kärnladdningar.
6
Enligt ISP kan de uppköps-
strategier som myndigheten noterat få till följd att Sverige och andra EU-länder får minskad militär förmåga och att länder, vars upprustningsmål Sverige inte vill bidra till, får en höjd militär förmåga. Under våra möten med myndigheter, enskilda och utredningens experter har det också lyfts fram att förvärv av hela eller delar av företag inom försvars- och säkerhetsindustrin är en metod som främmande makt använder för att öka sin egen kunskap inom spetsteknologi i syfte att höja den egna förmågan. Vi har också fått del av enskilda exempel där främmande makt har försökt kringgå regelverket för export av produkter med dubbla användningsområden i samband med förvärv av svenska företag. Av ovanstående kan vi alltså dra slutsatsen att överlåtelser av säkerhetskänslig verksamhet är en aktuell företeelse som kan få stor inverkan på Sveriges säkerhet.
Frågan om utländska investeringar i företag baserade inom EU har också uppmärksammats av Europeiska kommissionen som har lagt fram förslag till en granskningsmekanism (se avsnitt 7.2). Enligt kommissionen förekommer det att utländska investerare försöker förvärva strategiska tillgångar som kan ge dem kontroll eller inflytande över företag vars verksamhet är betydelsefull för säkerheten och den allmänna ordningen. Som exempel nämns verksamhet för drift eller tillhandahållande av kritisk teknik, infrastruktur, insatsvaror eller känslig information. Vidare uttalar kommissionen att när tillgångar förvärvas av utländska företag som är statsägda eller statligt kontrollerade så kan det leda till att EU förlorar sitt tekniska försprång samtidigt som säkerheten och den allmänna ordningen hotas.
7
I samband med remitteringen av kommissionens förslag till granskningsmekanism har flera svenska myndigheter uttryckt att det finns en problematik kring just utländskt övertagande av bl.a. känslig infrastruktur och teknologi i Sverige.
8
I sammanhanget kan vi också notera
6 Rådets förordning (EG) nr 428/2009 av den 5 maj 2009 om upprättande av en gemenskapsordning för kontroll av export, överföring, förmedling och transitering av produkter med dubbla användningsområden. 7 Pressmeddelande från Europeiska kommissionen den 14 september 2017 , https://europa.eu/ rapid/press-release_IP-17-3183_sv.htm i dess lydelse den 22 april 2018. 8 Europeiska kommissionens förslag KOM (2017) 487. Se bl.a. Säkerhetspolisens remissvar den 30 november 2017 med dnr 2017-22891-3 och Totalförsvarets forskningsinstituts remissvar den 24 november 2017 med dnr FOI-2017-1773:e.
302
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
att utländska direktinvesteringar i Sverige har ökat kraftigt under åren 2013–2017.
9
Under vårt arbete har vi fått del av exempel på försök till förvärv och genomförda förvärv med relevans för vårt uppdrag om överlåtelse av säkerhetskänslig verksamhet. Sådana företeelser har inträffat både i Sverige och i vårt närområde. Det handlar bl.a. om försök att förvärva anläggningar av betydelse för energiförsörjningssystemet och om fastighetsförvärv. Gemensamt för dessa exempel är att de har beskrivits som icke-rationella ur ett ekonomiskt perspektiv och att de troligen har syftat till att skaffa sig inflytande eller kunskap om funktioner som är samhällskritiska. När det gäller fastighetsförvärv kan vi vidare notera att det pågår ett lagstiftningsprojekt i Finland som bl.a. innefattar frågan om det bör införas regler som begränsar möjligheten att förvärva fast egendom i anslutning till kritiska samhällsfunktioner (se närmare i avsnitt 4.3).
Det förekommer i dagsläget ingen systematisk kartläggning och dokumentation av vilka aktörer som bedriver säkerhetskänslig verksamhet i Sverige. Det finns inte heller någon förteckning över antalet överlåtelser av säkerhetskänslig verksamhet. Vi kan därför inte med säkerhet uttala oss om antalet överlåtelser. Mot bakgrund av vad vi har redovisat ovan så står det enligt vår bedömning dock klart att överlåtelser av säkerhetskänslig verksamhet är en företeelse som är högst aktuell och som medför ökade sårbarheteter. Sådana sårbarheter kan utnyttjas av hotaktörer, vilket kan leda till konsekvenser för Sveriges säkerhet. Det finns därför anledning att överväga förebyggande åtgärder som syftar till att minska sårbarheterna vid överlåtelser av säkerhetskänslig verksamhet.
7.5.2 Brister i säkerhetsskyddet accentueras vid överlåtelse
I avsnitt 6.4 beskriver vi ett antal problem som förekommer i samband med bl.a. utkontraktering av säkerhetskänslig verksamhet. Det är bl.a. fråga om brister i det egna säkerhetsskyddsarbetet som är generella i den meningen att de inte specifikt rör utkontraktering men yttrar sig vid bl.a. utkontraktering. Till denna kategori av brister hör att det finns verksamheter av stor betydelse för Sveriges säkerhet som inte tillämpar reglerna om säkerhetsskydd och att det finns
9 SCB, https://www.statistikdatabasen.scb.se/sq/49601 i dess lydelse den 16 april 2018.
303
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
verksamhetsutövare som har bristande kunskap om vilka skyddsvärden som finns i den egna verksamheten (avsnitt 6.4.2 och 6.4.3).
Vi utgår ifrån att samma generella brister i det egna säkerhetsskyddsarbetet även förekommer hos verksamhetsutövare som avser att överlåta hela eller delar av sin säkerhetskänsliga verksamhet. Tänkbara konsekvenser är bl.a. att verksamhetsutövaren försummar att anmäla överlåtelsen till tillsynsmyndigheten eller att lämna en upplysning till förvärvaren om att verksamheten omfattas av säkerhetsskyddslagen. Dålig kunskap om de egna skyddsvärdena kan även leda till att överlåtelse sker i fall där det är olämpligt från säkerhetsskyddssynpunkt eller till en olämplig förvärvare. Detta framstår som särskilt allvarligt eftersom överlåtelse är en definitiv åtgärd som normalt inte kan gå åter, till skillnad från utkontraktering och upplåtelse av sådan verksamhet.
Bristerna i det egna säkerhetsskyddsarbetet kan även aktualiseras vid överlåtelse av viss egendom. Verksamhetsutövaren kan t.ex. vilja överlåta någon viss egendom – som kan vara fysisk eller immateriell, – som på något sätt har betydelse för Sveriges säkerhet. Det kan handla om såväl fast som lös egendom. Ett exempel skulle kunna vara en uppfinning eller produkt som har stor betydelse för någon säkerhetskänslig verksamhet. Om uppfinningen eller produkten kommer i olämpliga ägares händer skulle det kunna innebära allvarlig skada för Sveriges säkerhet, eftersom kunskap om eller tillgång till den kan underlätta för olika slags antagonistiska handlingar. Att en produkt eller uppfinning kommer i fel händer kan också leda till att förmågor som är väsentliga för Sveriges säkerhet drastiskt försämras. Ett annat exempel kan vara viktig infrastruktur. En förutsättning för att verksamhetsutövaren ska kunna göra en bedömning av om en viss överlåtelse är lämplig är att verksamhetsutövaren har kunskap om uppfinningens eller produktens betydelse, dvs. om de aktuella skyddsvärdena. Om denna kunskap saknas ökar sannolikheten för att en olämplig överlåtelse sker, vilket i sin tur kan leda till konsekvenser för Sveriges säkerhet.
304
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
7.5.3 Ingen uttrycklig skyldighet för verksamheten att pröva lämpligheten
Det ställs inte något krav på en verksamhetsutövare som står i begrepp att överlåta hela eller delar av den säkerhetskänsliga verksamheten att bedöma om överlåtelsen är lämplig från säkerhetsskyddssynpunkt. Detta, tillsammans med att tillsynsmyndigheterna saknar befogenheter att ingripa i eller hindra överlåtelser, kan leda till allvarliga konsekvenser för Sveriges säkerhet. Följden av att verksamhetsutövaren inte får någon ledning inför sitt beslut om överlåtelse är nämligen att andra intressen än Sveriges säkerhet kan komma att prioriteras, till exempel företagsekonomiska överväganden eller krav på effektivisering av offentligt driven verksamhet. Denna problematik måste också ses i ljuset av att den som överväger att överlåta säkerhetskänslig verksamhet inte kan förväntas ha samma intresse av och inte heller samma möjligheter att tillse att säkerhetsskyddet upprätthålls hos förvärvaren som om det skulle vara fråga om att utkontraktera eller upplåta delar av den egna verksamheten. Vi menar därför att det är problematiskt att det inte krävs att verksamhetsutövaren gör en bedömning av om överlåtelsen är lämplig från säkerhetsskyddssynpunkt.
Som antytts i avsnitt 7.5.2 kan det även finnas ett behov av en lämplighetsprövning när det gäller överlåtelse av viss egendom som inte utgör själva verksamheten. Om egendomen har betydelse för Sveriges säkerhet kan en olämplig överlåtelse leda till skadekonsekvenser av betydelse för Sveriges säkerhet.
7.5.4 Inga befogenheter att ingripa i eller hindra överlåtelser
Som nämnts i föregående avsnitt finns det i den nya säkerhetsskyddsregleringen endast bestämmelser om anmälningsskyldighet och upplysningsskyldighet när det kommer till överlåtelser av säkerhetskänslig verksamhet. Det är enligt vår mening problematiskt att anmälningsskyldigheten endast leder till att tillsynsmyndigheten får information om statliga myndigheter som har för avsikt att överlåta säkerhetskänslig verksamhet, utan att tillsynsmyndigheten ges befogenheter att ingripa i eller hindra olämpliga överlåtelser.
Den omständigheten att en överlåtelse som regel är en oåterkallelig åtgärd gör behovet av förebyggande åtgärder desto mer påtagligt. Om förvärvaren fortsätter att bedriva den säkerhetskänsliga
305
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
verksamheten i Sverige omfattas den förvisso av säkerhetsskyddsregleringen. Men om det visar sig att förvärvet har skett med t.ex. antagonistiska syften eller om förvärvaren inte har ett fullgott säkerhetsskydd så finns det alltså, till skillnad från vid exempelvis en utkontraktering eller upplåtelse, normalt ingen möjlighet att återta rådigheten över den säkerhetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna. Behovet av en möjlighet att i angelägna fall kunna ingripa framstår därför som än mer angeläget än vid t.ex. utkontraktering eller upplåtelse. Det är enligt vår mening därför en brist att det saknas möjligheter att ingripa i eller hindra överlåtelser som är olämpliga från säkerhetsskyddssynpunkt.
Det anförda gäller även vid överlåtelse av sådan egendom som inte utgör själva verksamheten men som har betydelse för Sveriges säkerhet. En sådan överlåtelse kan vara olämplig av flera skäl. Ett exempel kan vara att överlåtelsen kan leda till att egendomen inte längre kan användas på det sätt som behövs för att upprätthålla skyddet för Sveriges säkerhet. Ett exempel kan vara att den som förvärvar egendomen genom förvärvet får viktig kunskap om säkerhetskänsliga verksamheter och att denna kunskap kan användas vid t.ex. sabotage, terroristbrott eller andra antagonistiska handlingar som kan hota verksamheten.
7.6 Inledning till våra överväganden om förebyggande åtgärder vid överlåtelse
I vår kartläggning över problem har vi identifierat följande huvudsakliga problem.
• Generella brister i säkerhetsskyddet utgör en sårbarhet vid överlåtelse (problem 1).
• Det finns ingen skyldighet för verksamhetsutövaren att pröva lämpligheten av en överlåtelse (problem 2).
• Det saknas befogenheter för tillsynsmyndigheterna att ingripa i eller hindra olämpliga överlåtelser (problem 3).
306
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
7.7 Det behövs särskilda förebyggande åtgärder avseende överlåtelse
Bedömning: Utöver våra övriga förslag behövs det särskilda före-
byggande åtgärder som avser överlåtelse av säkerhetskänslig verksamhet och viss egendom i sådan verksamhet.
I föregående avsnitt har vi anfört att det finns ett antal generella brister i säkerhetsskyddet som kan yttra sig vid överlåtelse av säkerhetskänslig verksamhet. Det är troligt att sådana brister kan öka i och med att ytterligare aktörer kommer att omfattas av den nya säkerhetsskyddslagen. Med anledning av bristerna lägger vi i kapitel 5, 6 och 8 fram vissa förslag som syftar till en generell förbättring av säkerhetsskyddet. Ett sådant förslag är att alla verksamhetsutövare som omfattas av säkerhetsskyddslagen utan dröjsmål ska anmäla verksamheten till tillsynsmyndigheten (se avsnitt 8.14). Ett annat förslag handlar om att stärka säkerhetsskyddschefens ställning i verksamheten (se avsnitt 6.6). Vi har också lämnat förslag i kapitel 5 om en utvidgad skyldighet att ingå säkerhetsskyddsavtal. Detta förslag innebär att skyldigheten att träffa ett sådant avtal i många fall kommer att träffa verksamhetsöverlåtelser och, i vissa fall, försäljning av egendom. De förslag av generell karaktär som vi lämnar i andra kapitel har naturligtvis betydelse också när det gäller överlåtelse av säkerhetskänslig verksamhet. Vi lämnar också förslag i kapitel 8 och 9 om tillsyn och sanktioner, som syftar till att förbättra verksamhetsutövarnas efterlevnad av säkerhetsskyddsregleringen.
Sammantaget anser vi att sårbarheterna vid överlåtelser motverkas av de förslag som vi nyss har nämnt. Vår bedömning är att de är tillräckliga för att hantera det som vi har kallat problem 1, dvs. generella brister i säkerhetsskyddet. Frågan är då om det behövs ytterligare förebyggande åtgärder utöver dessa. Vår bedömning är att det finns ett sådant behov. Dagens regler om överlåtelse innebär endast ett krav på att överlåtelsen ska anmälas och att förvärvaren ska upplysas om att säkerhetsskyddslagen gäller för verksamheten. Vår bedömning, som illustreras av problembeskrivningen i avsnitt 7.5, är att dessa bestämmelser inte tillgodoser behovet av förebyggande åtgärder. Varken dessa regler eller våra övriga förslag löser nämligen problemet att det inte finns någon möjlighet för statsmakten att ingripa när en
307
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
överlåtelse av säkerhetskänslig verksamhet är olämplig (problem 3) och inte heller någon skyldighet för en verksamhetsutövare enligt säkerhetsskyddslagen att pröva om en viss överlåtelse är lämplig eller olämplig från säkerhetsskyddssynpunkt (problem 2). Bestämmelserna gäller inte i fråga om någon annan egendom än själva verksamheten, fastän det kan finnas egendom som har stor betydelse för Sveriges säkerhet. Bestämmelserna träffar dessutom bara i situationer där en verksamhetsutövare överlåter en säkerhetskänslig verksamhet till någon enskild. Som vi kommer att utveckla i det följande finns det även andra situationer där det kan finnas behov av förebyggande åtgärder.
En överlåtelse kan vara olämplig från säkerhetsskyddssynpunkt av olika skäl. Det kan handla om situationer där det över huvud taget inte är lämpligt att en överlåtelse sker, t.ex. eftersom verksamheten bör bedrivas av en myndighet eller en viss aktör, dels om situationer där det är olämpligt att överlåta verksamheten till en viss förvärvare. I vissa fall kan det vara olämpligt att överlåta en verksamhet eller viss egendom till en utländsk förvärvare, medan det i andra fall kan vara något förhållande som specifikt rör förvärvaren som gör det olämpligt att överlåta verksamheten eller egendomen till denne.
Det bör tilläggas att säkerhetsskyddsavtal kan ha en roll att spela inför en överlåtelse men att avtalen inte har någon funktion efter en överlåtelse. Det beror på att säljaren efter överlåtelsen inte längre förfogar över verksamheten och dess skyddsvärden. Med andra ord kan säkerhetsskyddsavtal endast fylla en funktion så länge den säkerhetskänsliga verksamheten inte har övergått till köparen. Detta accentuerar enligt vår mening riskerna vid en överlåtelse jämfört med ett pågående förfarande, såsom en upplåtelse eller utkontraktering.
Frågan är då vilka ytterligare åtgärder som kan behövas för att motverka riskerna vid överlåtelse. Vi diskuterar denna fråga i de kommande avsnitten.
308
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
7.8 Ett system med kontrollstationer bör gälla även vid vissa överlåtelser
Bedömning: Inför en överlåtelse av säkerhetskänslig verksamhet
och viss egendom i sådan verksamhet bör det ställas krav på att verksamhetsutövaren gör en särskild säkerhetsbedömning och en lämplighetsprövning. Det bör vidare finnas ett samrådsförfarande.
I kapitel 6 har vi lämnat förslag om ett system med kontrollstationer som måste passeras i samband med vissa förfaranden som kräver säkerhetsskyddsavtal. Kontrollstation 1 innebär ett krav på att verksamhetsutövaren innan förfarandet inleds gör en särskild säkerhetsbedömning och en prövning av förfarandets lämplighet. Kontrollstation 2, som har ett snävare tillämpningsområde, innebär ett krav på samråd med tillsynsmyndigheten och en möjlighet för tillsynsmyndigheten att meddela förelägganden och ytterst att förbjuda förfarandet i fråga. Kontrollstation 3 består av en möjlighet för tillsynsmyndigheten att, under det att förfarandet pågår, meddela förelägganden som är nödvändiga för att förhindra skada för Sveriges säkerhet. Ett sådant föreläggande kan gå ut på att förfarandet ska avslutas och att kontrollen över t.ex. utkontrakterad verksamhet eller överlämnade säkerhetsskyddsklassificerade uppgifter ska återtas av verksamhetsutövaren.
Vår bedömning är att de första två kontrollstationer som vi föreslagit i kapitel 6 är väl lämpade även för att förebygga de problem som förekommer i samband med överlåtelser. Vi har övervägt om man i stället för ett krav på egen lämplighetsprövning följt av ett samrådsförfarande borde införa någon form av mer renodlad tillståndsprövning. Vi har dock svårt att se några väsentliga fördelar med en sådan ordning. Tvärtom är det även vid överlåtelser viktigt att så mycket av ansvaret som möjligt läggs på verksamhetsutövarna själva, vilket talar för ett krav på särskild säkerhetsbedömning och lämplighetsprövning som ska föregå en inblandning från någon granskningsmyndighet. Vi anser vidare att en samrådsskyldighet och en möjlighet att meddela förelägganden skulle ha ett stort värde i samband med överlåtelser, liksom en möjlighet att i sällsynta fall kunna förhindra överlåtelser.
309
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
Ett annat skäl för att tillämpa i huvudsak motsvarande ordning som vid t.ex. upplåtelse och utkontraktering är att det underlättar för både verksamhetsutövare och andra om systemet är så enhetligt som möjligt. Om man i stället inför parallella system där en ordning gäller vid t.ex. utkontraktering och en annan vid överlåtelse, kan det innebära nackdelar både på så sätt att det kan medföra ökade kostnader och att det blir svårhanterligt för verksamhetsutövarna. Även om överlåtelser har vissa viktiga särdrag i förhållande till de förfaranden som diskuteras i kapitel 6, finns det också många likheter. Säkerhetsskyddsregleringen har samma syfte oavsett vilket slags förfarande det är fråga om. Vidare är en av våra generella utgångspunkter att det bör vara de potentiella konsekvenserna av ett förfarande som är avgörande för åtgärderna, inte hur förfarandet rubriceras.
En annan fråga är om de första två kontrollstationerna fyller samma funktion vid överlåtelser som vid t.ex. en utkontraktering eller säkerhetsskyddad upphandling av annat slag. Samrådsförfarandet och möjligheten till förelägganden syftar till stor del till att man ska kunna lösa eventuella problem, t.ex. genom att andra krav ställs i säkerhetsskyddsavtalet. Säkerhetsskyddsavtalet har visserligen en mer begränsad betydelse när det gäller överlåtelser eftersom dess betydelse främst gäller under avtalsförhandlingarna och inte efter det att överlåtelsen fullbordats. Dock ser vi att det även i samband med en överlåtelse, eller en förhandling om en överlåtelse, kan finnas ett behov av samråd om vilka krav på säkerhetsskyddsåtgärder som bör ställas upp och att, om diskussionen inte leder till åtgärder, att förelägga verksamhetsutövaren att göra det som krävs, t.ex. att förbättra kravställningen i säkerhetsskyddsavtalet, om ett sådant har ingåtts. Vidare kan samrådet även fylla funktionen att verksamhetsutövaren får klart för sig att en viss överlåtelse är olämplig och därför självmant avstår från att gå vidare med den, antingen helt eller genom att söka en annan förvärvare eller att på något sätt begränsa överlåtelsen så att den blir godtagbar.
Eftersom kontrollstationerna ytterst innebär en möjlighet att förhindra en planerad överlåtelse, kan det förväntas att verksamhetsutövarna visar stor följsamhet mot de synpunkter som tillsynsmyndigheten framför under samrådet. Inom en samrådslösning kan man även tänka sig att det finns utrymme för förhandlingar om att viss verksamhet ska övertas av någon myndighet, om detta är en förutsättning för att verksamheten ska kunna drivas vidare och den behövs av
310
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
säkerhetsskyddsskäl. Samrådet kan alltså vara en väg in i diskussioner av olika lösningar som kan vara gynnsamma både för verksamhetsutövaren och från ett nationellt säkerhetsskyddsperspektiv.
Med hänsyn till det anförda gör vi bedömningen att vissa överlåtelser bör omfattas av system med krav på dels särskild säkerhetsbedömning och lämplighetsprövning (kontrollstation 1), dels samråd och en möjlighet att meddela förelägganden och förbud (kontrollstation 2). Vi anser att regleringen inte bör begränsas till fall där förvärvaren är en enskild aktör, eftersom det i vissa fall kan vara minst lika angeläget med förebyggande åtgärder när förvärvaren är en offentlig aktör och i synnerhet en utländsk sådan. Vi utvecklar våra överväganden om de närmare förutsättningarna och formerna för kontrollstationerna i de följande avsnitten.
Den tredje kontrollstationen enligt våra förslag i avsnitt 6.9 utgörs av en möjlighet att utfärda förelägganden för att komma till rätta med brister eller få till stånd ett avslut av ett pågående förfarande. Vi bedömer att denna kontrollstation inte utan vidare kan överföras på överlåtelser, eftersom den verksamhetsutövare som överlåtit verksamheten inte längre har någon kontroll över den. Det krävs i stället vissa särskilda överväganden i fråga om konsekvenserna av att en verksamhet eller viss egendom överlåts i strid med ett förbud eller villkor, eller utan att kontrollstationerna har passerats. Vi återkommer till den frågan i avsnitt 7.11.
Avslutningsvis bör det påpekas att säkerhetsskyddslagen givetvis gäller för var och en som förvärvar och därefter fortsätter att bedriva säkerhetskänslig verksamhet, under förutsättning att detta sker i Sverige. Oavsett om man har passerat kontrollstationerna eller inte gäller alltså säkerhetsskyddslagen så länge det rör sig om säkerhetskänslig verksamhet (se 1 kap. 1 § nya säkerhetsskyddslagen).
Det bör också påpekas att regleringen enbart föreslås gälla vid överlåtelser. Den omständighet att en verksamhetsutövare kan välja att lägga ner en viss verksamhet omfattas alltså inte av våra överväganden i det följande.
311
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
7.9 Den första kontrollstationen
Förslag: Det införs i nya säkerhetsskyddslagen vissa särskilda skyl-
digheter för den som bedriver säkerhetskänslig verksamhet och som avser att överlåta
1. hela eller någon del av den säkerhetskänsliga verksamheten,
eller
2. någon egendom i den säkerhetskänsliga verksamheten som har
betydelse för Sveriges säkerhet eller ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
En sådan verksamhetsutövare som nyss sagts ska genom en sär-
skild säkerhetsbedömning identifiera vilka säkerhetsskyddsklassifi-
cerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som förvärvaren kan få tillgång till och som kräver säkerhetsskydd. Med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om den planerade överlåtelsen är lämplig från säkerhetsskyddssynpunkt (lämplighetsprövning). Skyldigheterna ska fullgöras innan ett förfarande för överlåtelse inleds.
Om lämplighetsprövningen leder till bedömningen att den planerade överlåtelsen är olämplig från säkerhetsskyddssynpunkt, får den inte inledas.
7.9.1 Det övergripande innehållet i den första kontrollstationen
På de skäl som vi tidigare har anfört bör den första kontrollstationen ha motsvarande innehåll som enligt våra förslag i avsnitt 6.7. Den bör alltså innebära ett krav på att den som omfattas av kontrollstationen ska göra en särskild säkerhetsbedömning och en lämplighetsprövning. Den särskilda säkerhetsbedömningen bör, liksom när det gäller utkontraktering och andra förfaranden som omfattas av förslagen i kapitel 6, gå ut på att den som avser att göra överlåtelsen identifierar vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den utomstående parten (dvs. förvärvaren) kan få tillgång till och som kräver säkerhetsskydd.
312
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
Bedömningen bör utgå ifrån verksamhetsutövarens säkerhetsskyddsanalys.
I likhet med vad vi föreslagit i avsnitt 6.7 bör nästa steg vara en lämplighetsprövning som ska utmynna i en bedömning av om överlåtelsen är lämplig från säkerhetsskyddssynpunkt. Bedömningen bör göras med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter. En överlåtelse som är olämplig från säkerhetsskyddssynpunkt bör inte få inledas. Detta bör anges uttryckligen (jfr våra förslag i avsnitt 6.7). Det bör råda en skyldighet att dokumentera den särskilda säkerhetsbedömningen och lämplighetsprövningen. Att så sker är viktigt för att dokumentationen ska kunna vara ett underlag i både samrådsprocessen i den andra kontrollstationen (se vidare i avsnitt 7.10) och tillsynsverksamheten.
7.9.2 Den första kontrollstationen bör bara gälla verksamhetsutövare
Den nya säkerhetsskyddslagens bestämmelser gäller för den som bedriver säkerhetskänslig verksamhet, dvs. verksamhetsutövare. Våra förslag i betänkandet tar därför i allt väsentligt sikte på verksamhetsutövare och på myndigheter som utövar tillsyn över verksamhetsutövare. Som vi har utvecklat i avsnitt 7.1 finns det dock skäl till vissa avsteg från den principen när det gäller överlåtelse av verksamheter. Det blir nämligen allt för lätt för verksamhetsutövare att kringgå bestämmelserna om dessa inte också träffar även aktieägare och andelsägare. En första fråga är därför om den första kontrollstationen, dvs. kravet på särskild säkerhetsbedömning och lämplighetsprövning, bör gälla bara för verksamhetsutövare eller om den också bör träffa bl.a. aktieägare.
Vår uppfattning är att den första kontrollstationen bör begränsas till verksamhetsutövare. Skälen för bedömningen är följande. Kraven på särskild säkerhetsbedömning och lämplighetsprövning är ett uttryck för att ansvaret för säkerhetsskyddet vilar på verksamhetsutövarna och inte på tillsynsmyndigheterna. Meningen är att verksamhetsutövarna själva ska tänka till inför t.ex. utkontrakteringar och överlåtelser, och göra en analys av vilka såbarheteter det planerade förfarandet kan innebära, om det är lämpligt och vilka säkerhetsskyddsåtgärder som i så fall behövs. Detta syfte gör sig inte gällande i fråga om den som inte är verksamhetsutövare. Vidare kan det inte förväntas att
313
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
andra än verksamhetsutövare har tillgång till den information och de kunskaper som krävs för att man ska kunna göra en särskild säkerhetsbedömning och lämplighetsprövning. Man kan inte utgå ifrån att en aktieägare har inblick i vilka säkerhetsskyddsklassificerade uppgifter som ingår i en överlåtelse. Man kan inte heller förvänta sig att aktieägare i allmänhet har kunskap om olika hot mot Sveriges säkerhet, eller inblick i vilka förvärvare som kan vara lämpliga eller olämpliga av olika skäl. Med hänsyn till det anförda bör kraven på särskild säkerhetsbedömning och lämplighetsprövning enbart omfatta verksamhetsutövare.
7.9.3 Överlåtelse av hela eller någon del av den säkerhetskänsliga verksamheten
Vår bedömning är att överlåtelser av säkerhetskänslig verksamhet generellt kan leda till sådana skadekonsekvenser att den första kontrollstationen alltid bör tillämpas vid sådana överlåtelser. Av särskild betydelse för vår bedömning är att överlåtelsen innebär att verksamheten övergår permanent, vilket skiljer sig från t.ex. en utkontraktering. Om överlåtelsen är olämplig från säkerhetsskyddssynpunkt kan det vara betydligt svårare, eller rentav omöjligt, att i efterhand komma till rätta med problemet. Det bör därför inte ställas något krav på att överlåtelsen innefattar säkerhetsskyddsklassificerade uppgifter på en viss nivå eller andra sådana kvalificerande villkor. Det bör alltså vara tillräckligt att verksamheten är säkerhetskänslig på det sätt som avses i 1 kap. 1 § nya säkerhetsskyddslagen. Denna bedömning innebär att det alltid bör ställas ett krav på särskild säkerhetsbedömning och lämplighetsprövning inför en överlåtelse av en säkerhetskänslig verksamhet.
Nästa fråga är om det bör krävas att hela verksamheten överlåts, eller om det är tillräckligt att det handlar om en del av verksamheten, och i så fall hur stor den delen bör vara. Vår bedömning är att det bör vara tillräckligt att någon del av verksamheten överlåts. Ett skäl för den bedömningen är att det inte behöver vara avgörande för de potentiella skadekonsekvenserna om verksamhetsutövaren överlåter hela eller delar av sin säkerhetskänsliga verksamhet. Om en verksamhetsutövare exempelvis avknoppar en del av sin säkerhetskänsliga verksamhet genom att sälja inkråmet och låta förvärvaren ta över personalen, kan det mycket väl vara så att denna del av verksamheten
314
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
är absolut mest säkerhetskänslig. Det går alltså inte att på förhand säga att överlåtelser av en del av verksamheten är mindre känsliga från säkerhetsskyddssynpunkt.
Det väsentliga för att det ska vara fråga om en verksamhetsöverlåtelse bör enligt vår mening vara att det handlar om att någon utomstående aktör tar över möjligheten att bedriva den säkerhetskänsliga verksamheten, t.ex. genom ett övertagande av de relevanta fysiska tillgångarna och personal. Enbart övertagande av vissa fysiska tillgångar bör däremot normalt inte ses som en verksamhetsöverlåtelse.
Vem som i ett konkret fall överlåter verksamheten beror på vem som har rådighet över den. Om en verksamhetsutövare avser att knoppa av en del i verksamheten för att den i stället ska bedrivas i ett dotterbolag åligger skyldigheterna verksamhetsutövaren, eftersom det är verksamhetsutövaren som sådan som har rådighet över frågan. Om den säkerhetskänsliga verksamheten bedrivs inom ramen för forskningsverksamhet, t.ex. vid ett universitet eller annat lärosäte, måste man inför en förestående överlåtelse av en säkerhetskänslig forskningsverksamhet ställa sig frågan vem som bedriver och har rådighet över den säkerhetskänsliga verksamhet som ska överlåtas. Det kan t.ex. vara lärosätet, som i så fall är skyldig att vidta de åtgärder som ingår i den första kontrollstationen.
7.9.4 Överlåtelse av annan egendom än själva verksamheten
Vårt uppdrag omfattar även överlåtelse av viss egendom som inte utgör säkerhetskänslig verksamhet i och för sig. För att man ska kunna motivera inskränkningar av enskildas rätt att fritt disponera över sin egendom måste det enligt vår mening vara fråga om egendom som tydligt knyter an till Sveriges säkerhet eller ett förpliktande internationellt åtagande om säkerhetsskydd. Vidare måste åtgärden framstå som proportionerlig. Det kan alltså inte krävas att verksamhetsutövarna vidtar särskilda åtgärder inför överlåtelse av vilken slags egendom som helst som på något sätt tillhör verksamheten, eftersom många av de tillgångar som finns i en säkerhetskänslig verksamhet inte har någon egentlig betydelse för Sveriges säkerhet eller våra internationella åtaganden om säkerhetsskydd.
315
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
Med tanke på att säkerhetskänslig verksamhet kan vara av många olika slag är det inte möjligt att skapa någon mer preciserad förteckning över vilken sorts egendom som bör omfattas av kontrollstationerna. Det är viktigt att regleringen är utformad på ett sådant sätt att en mängd olika slags egendom kan fångas upp, och att tillämpningen fungerar allteftersom tekniken, samhället och omvärlden förändras. Regleringen bör därför ges en tämligen generell utformning.
Vi har övervägt om man exempelvis skulle kunna bygga en avgränsning på om egendomen är av väsentlig betydelse för verksamheten eller någon annan säkerhetskänslig verksamhet. Vi har dock kommit fram till att detta är en mindre lyckad avgränsning. Till att börja med knyter den inte an till några andra begrepp i säkerhetsskyddslagen och det är dessutom inte helt lätt att säga vad som kan anses ha sådan väsentlig betydelse. Man kan fråga sig om en viss egendom över huvud taget kan sägas ha en väsentlig betydelse i verksamheten om egendomen kan överlåtas samtidigt som verksamheten ändå kan drivas vidare. Rimligen torde beslutet att avyttra egendomen inte sällan grundas på en bedömning just att egendomen faktiskt inte behövs i verksamheten, och då är det tveksamt om den samtidigt anses som väsentlig. Det främsta skälet till att vi avstår från att välja denna avgränsning är dock att den inte fångar in alla de situationer där kontrollstationerna kan fylla en viktig funktion. Syftet med kontrollstationerna är ju att upprätthålla säkerhetsskyddslagens intressen, dvs. skyddet för Sveriges säkerhet och våra internationella säkerhetsskyddsåtaganden (jfr 1 kap. 1 § nya säkerhetsskyddslagen). Det bör därför inte vara betydelsen för verksamheten utan för säkerhetsskyddslagens övergripande intressen som är avgörande.
Vi har även övervägt om det borde krävas att egendomen stadigvarande används i verksamheten. Därigenom skulle sådan egendom som normalt omsätts i verksamheten inte omfattas. Vi har dock kommit fram till att en sådan avgränsning inte är önskvärd. Det skyddsvärda i en verksamhet kan nämligen mycket väl vara en produkt som är avsedd att omsättas. Det kan handla om en fysisk produkt, men även om t.ex. ett patent på en uppfinning som tagits fram inom ramen för verksamheten. Man kan t.ex. tänka sig att en viss produkt används inom någon verksamhet av stor betydelse för Sveriges säkerhet och att det därför kan vara mycket olämpligt från säkerhets-
316
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
skyddssynpunkt att tillverkaren säljer produkten, eller hemliga instruktioner om hur produkten kan tillverkas, till exempelvis ett statsägt utländskt bolag.
I vissa fall kan man också tänka sig att viss egendom har betydelse för ett för Sverige internationellt förpliktande åtagande om säkerhetsskydd och att det därför är olämpligt att överlåta den.
Med hänsyn till det anförda anser vi att avgränsningen bör kopplas till egendomens betydelse för Sveriges säkerhet, eller för ett för Sverige internationellt förpliktande åtagande om säkerhetsskydd. Bedömningen av om den aktuella egendomen har sådan betydelse bör grundas på den obligatoriska säkerhetsskyddsanalys som alla verksamhetsutövare som omfattas av lagen måste göra (2 kap. 1 § nya säkerhetsskyddslagen). Med ordet egendom avses både fast och lös egendom, inklusive exempelvis infrastruktur och immateriella tillgångar.
7.9.5 Lämplighetsprövningen
Åtgärderna i den första kontrollstationen ska utmynna i en lämplighetsprövning. Denna prövning bör utgå ifrån att överlåtaren vid en överlåtelse oftast förlorar rådigheten över såväl den säkerhetskänsliga verksamheten som de säkerhetsskyddsklassificerade uppgifter som ingår i verksamheten. I praktiken innebär det alltså att den som står i begrepp att överlåta säkerhetskänslig verksamhet varken har kunskap om eller möjlighet att påverka hur den säkerhetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna kommer att användas efter överlåtelsen. Om förvärvaren fortsätter bedriva säkerhetskänslig verksamhet i Sverige kommer säkerhetsskyddslagen förvisso att fortsätta vara tillämplig på verksamheten, men det har enligt vår bedömning ingen avgörande betydelse eftersom förvärvarens avsikter kan vara okända vid den tidpunkt då lämpligheten ska bedömas. Var en verksamhet geografiskt bedrivs är dessutom en omständighet som relativt snabbt kan förändras. Skulle verksamheten flyttas till ett annat land kommer den inte längre vara underkastad säkerhetsskyddslagens krav och tillsynsmyndigheternas befogenheter. Ovanstående måste beaktas vid lämplighetsprövningen.
En annan fråga som behöver uppmärksammas är vilket perspektiv som lämplighetsprövningen bör utgå från. Det är enligt vår mening rimligt att anta att överlåtelser av säkerhetskänslig verksamhet kan
317
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
inverka negativt på den aktuella verksamheten och på annan säkerhetskänslig verksamhet. Det finns många ömsesidiga beroenden mellan säkerhetskänsliga verksamheter. Bland annat är de flesta säkerhetskänsliga verksamheter beroende av fungerande energiförsörjning, elektronisk kommunikation och transporter. En aspekt som kan ha särskild aktualitet vid överlåtelser jämfört med utkontrakteringar och upplåtelser är frågan om vilka verksamheter som måste bedrivas – eller i vart fall kontrolleras – från Sverige för att man ska kunna upprätthålla skyddet av landets säkerhet. Vad som avses är alltså verksamheter som måste vara tillgängliga för att andra verksamhetsutövare ska kunna upprätthålla funktioner och förmågor som är nödvändiga för Sveriges säkerhet. Ett exempel är förmågan att försvara Sveriges territorium, vilket i huvudsak är en uppgift för Försvarsmakten. Försvarsmakten är i sin tur beroende av ett flertal andra verksamheter för att kunna upprätthålla förmågan att försvara landets territorium, inte minst gäller det verksamheter inom forskning, utveckling och produktion av försvarsmateriel (prop. 2017/18:89 s. 44). En annan sådan verksamhet kan tänkas vara flygtrafiktjänsten som tillhandahålls av Luftfartsverket. Ur ett säkerhetsskyddsperspektiv är det enligt vår mening stor skillnad mellan att utkontraktera en sådan verksamhet och att överlåta den, inte minst utifrån möjligheten att garantera verksamhetens tillgänglighet för annan säkerhetskänslig verksamhet.
Det är mot denna bakgrund rimligt att anta att överlåtelser av säkerhetskänslig verksamhet, i större utsträckning än vid utkontraktering och upplåtelse av sådan verksamhet, kan medföra konsekvenser även för andra säkerhetskänsliga verksamheter. Om en myndighet t.ex. utkontrakterar driften av ett it-system som styr kraftöverföring, finns det fortfarande möjligheter att återta driften till myndigheten om det skulle visa sig att säkerhetsskyddet inte kan upprätthållas. Om myndigheten däremot skulle välja att överlåta verksamheten och senare upptäcka att den används som en fasad för antagonistisk verksamhet mot Sverige skulle förutsättningarna för att ingripa mot överlåtelsen vara begränsade samtidigt som skadan skulle kunna bli betydligt mer omfattande.
318
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
Syftet med lämplighetsprövningen och exempel på relevanta faktorer
Syftet med kravet på lämplighetsprövning är att alla verksamhetsutövare utifrån sin bästa förmåga och de kunskaper och den information man har tillgång till ska göra en analys av om en viss överlåtelse är lämplig från säkerhetsskyddssynpunkt. Ytterst är det en del av den allmänna ambitionshöjning som behöver ske i fråga om säkerhetsskydd både hos verksamhetsutövare och tillsynsmyndigheter. Däremot kan det givetvis inte krävas att verksamhetsutövare ska ta hänsyn till information som man inte har tillgång till, t.ex. underrättelseinformation. Det kan inte heller krävas att verksamhetsutövare i allmänhet ska förmå att göra komplicerade omvärldsanalyser av det slag som åligger Säkerhetspolisen och Försvarsmakten. Det som bör krävas är i stället att verksamhetsutövare gör en så ambitiös prövning som är möjlig med utgångspunkt i en gedigen säkerhetsskyddsanalys och särskild säkerhetsbedömning och sådan information om t.ex. hotbilder och beroenden mellan verksamheter som verksamhetsutövaren fått från sin tillsynsmyndighet.
Det är inte möjligt att uttömmande besvara frågan om vilka faktorer som verksamhetsutövaren bör ta med i sin lämplighetsprövning. Det beror helt enkelt på att det inte är möjligt att på förhand specificera vilka faktorer som kan vara relevanta i varje enskilt fall. Att uttömmande ange dessa faktorer skulle dessutom innebära att man bygger in begränsningar i systemet, vilket kan skapa oavsiktliga avgränsningar. Några exempel på faktorer kan dock ges. En första fråga är om det över huvud taget är lämpligt att överlåta den aktuella verksamheten. Kanske är verksamheten så känslig att den bör bedrivas av t.ex. en myndighet. Det kan också vara så att förhållanden på köparens sida innebär att det är olämpligt att verksamheten överlåts just till denna förvärvare. Frågor som kan behöva beaktas i möjlig mån är vad köparen avser och om köparen i själva verket kan vara en bulvan för någon aktör med antagonistiska avsikter, eller stå i ett beroendeförhållande till någon sådan aktör. Närmare bestämmelser om vad lämplighetsprövningen ska avse bör lämpligen meddelas genom myndighetsföreskrifter. Det bör vidare åligga Säkerhetspolisen och Försvarsmakten att ta fram vägledningar om hur lämplighetsprövningen ska ske.
319
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
När det gäller annan egendom än själva verksamheten har vi tidigare i kapitlet gett ett antal exempel på när en överlåtelse kan vara olämplig. Även här kan det både handla om att det är olämpligt att över huvud taget överlåta egendomen, eller att det är något förhållande på förvärvarens sida som gör att överlåtelsen är olämplig.
Eftersom verksamhetsutövare många gånger inte kan förväntas ha de kunskaper och den överblick som behövs för att göra en fullständig lämplighetsprövning är det av stor vikt att någon myndighet som har sådana kunskaper kopplas in om verksamhetsutövaren själv gör bedömningen att överlåtelsen kan ske. Detta accentuerar vikten av den andra kontrollstationen, som vi diskuterar under nästa rubrik.
7.10 Den andra kontrollstationen
Förslag: I nya säkerhetsskyddslagen införs bestämmelser om en
andra kontrollstation, med följande innebörd. Om lämplighetsprövningen i den första kontrollstationen leder till bedömningen att överlåtelsen får ske, ska den som avser att överlåta verksamheten eller egendomen samråda med tillsynsmyndigheten. Tillsynsmyndigheten får förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras. Samrådet får även avslutas med föreläggande som innebär att överlåtelsen endast får genomföras på vissa angivna villkor, vid påföljd att överlåtelsen annars är ogiltig.
Bestämmelserna gäller även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet, dock inte aktier i publika aktiebolag.
Om förutsättningarna för samrådsskyldighet är uppfyllda får även tillsynsmyndigheten ta initiativ till samråd. Bestämmelserna om föreläggande och förbud gäller även då.
Förvaltningslagen (2017:900) gäller för handläggningen, även hos Säkerhetspolisen. Under förfarandet om samråd, föreläggande och förbud tillämpar tillsynsmyndigheterna dock inte delar av förvaltningslagens bestämmelser om försenad handläggning.
320
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
Om samrådet inte utmynnar i ett förbud eller föreläggande med villkor ska ärendet avslutas med ett beslut om att samrådet avslutas utan vidare åtgärd.
Bedömning: Överlämnande av sekretessbelagda uppgifter till
tillsynsmyndigheten inom ramen för samrådet omfattas av reglerna om nödvändigt utlämnande i offentlighets- och sekretesslagen (2009:400). Eftersom bestämmelserna i 10 kap. 3 § offentlighetsoch sekretesslagen tillgodoser behovet av skydd för känsliga uppgifter i samrådsärendet finns det inte anledning att inskränka reglerna om partsinsyn och kommunikation. Utrymmet för att utelämna beslutsmotiveringar är tillräckligt för att skydda känsliga uppgifter i samrådsärendet.
7.10.1 Den andra kontrollstationen bör omfatta även aktie- och andelsägare
I avsnitt 7.9.2 har vi gjort bedömningen att den första kontrollstationen enbart bör gälla för verksamhetsutövare. De skäl som ligger till grund för vår bedömning i den delen har inte relevans när det gäller den andra kontrollstationen. Det framstår tvärtom som rimligt och angeläget att ställa krav på att en aktie- eller andelsägare i en säkerhetskänslig verksamhet tar initiativ till ett samrådsförfarande. Här handlar det inte om att markera verksamhetsutövarens eget ansvar för den säkerhetskänsliga verksamheten, utan först och främst om att det måste finnas en möjlighet för statsmakten att förhindra en olämplig överlåtelse. Det finns förmodligen inte särskilt många situationer där det är relevant att meddela förelägganden mot t.ex. en aktieägare, men det är inte uteslutet att även sådana fall kan finnas.
Vår bedömning är därför att den andra kontrollstationen – dvs. regler om samråd, förelägganden och förbud – bör gälla både verksamhetsutövare och ägare till en säkerhetskänslig verksamhet. Vem som är samrådsskyldig i det enskilda fallet blir då beroende av vem det är som avser att genomföra överlåtelsen. Som vi anfört i avsnitt 7.1 bör samrådskravet dock inte omfattas den som äger aktier i ett publikt aktiebolag.
321
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
Bedömningen innebär att det är viktigt att verksamhetsutövare som bedriver säkerhetskänslig verksamhet i formen av ett privat aktiebolag informerar aktieägarna om samrådsskyldigheten.
7.10.2 Tillämpningsområdet bör i övrigt överensstämma med den första kontrollstationen
Våra förslag i kapitel 6 bygger på att kontrollstationerna till stor del är ett avsmalnande rör, där den första stationen träffar relativt brett medan kontrollstation 2, dvs. samråd, förelägganden och förbud, har ett betydligt snävare tillämpningsområde. Som vi anfört i det föregående anser vi att överlåtelse skiljer sig från exempelvis utkontraktering och de andra förfaranden som tas upp i kapitel 6, bl.a. genom att det som utgångspunkt är en oåterkallelig åtgärd som innebär att verksamhetsutövaren permanent förlorar kontrollen över det som överlåts. Till detta kommer, som vi nyss konstaterat, att lämplighetsprövningen kan behöva omfatta faktorer som verksamhetsutövare i allmänhet inte har förutsättningar att känna till eller bedöma. Vår bedömning är därför att kontrollstation 2 bör gälla för alla överlåtelser av säkerhetskänslig verksamhet och alla överlåtelser av egendom som har betydelse antingen för Sveriges säkerhet eller för ett förpliktande internationellt åtagande om säkerhetsskydd. Skyldigheten att samråda bör alltså gälla vid alla sådana överlåtelser, liksom möjligheten att utfärda förelägganden för att komma till rätta med brister i förhållande till säkerhetsskyddsregleringen och att förbjuda överlåtelsen.
7.10.3 Tillsynsmyndigheterna bör ansvara för den andra kontrollstationen
Vi har i kapitel 6 gjort bedömningen att samrådet bör ske med respektive tillsynsmyndighet, som också fattar beslut om eventuella förelägganden och förbud mot förfarandet. Det skäl som anförts där gör sig i allt väsentligt gällande även när det är fråga om överlåtelser. Vår bedömning är därför att saken lämpligen kan hanteras av tillsynsmyndigheterna på motsvarande sätt som utkontrakteringar och andra förfaranden som vi diskuterar i avsnitt 6.8.
322
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
7.10.4 Samrådets omfattning
Hur omfattande samrådet bör vara bör avgöras från fall till fall. I vissa fall kan det vara enkelt att konstatera att överlåtelsen inte är problematisk från säkerhetsskyddssynpunkt, t.ex. för att det handlar om överlåtelse av ett mindre aktieinnehav. Då kan man tänka sig att tillsynsmyndigheten relativt omgående avslutar samrådet utan vidare åtgärd. I ett sådant fall får begäran om samråd i princip samma funktion som den anmälningsskyldighet som gäller enligt 2 kap. 9 § första stycket nya säkerhetsskyddsförordningen, nämligen att tillsynsmyndigheten får vetskap om överlåtelsen. Även om den aktuella överlåtelsen i sig är oproblematisk, kan denna kunskap vara av värde ur ett större kartläggningsperspektiv. Det kan t.ex. vara intressant för tillsynsmyndigheten att veta att vissa aktörer köper upp aktier eller andelar i ett antal olika säkerhetskänsliga verksamheter.
7.10.5 Förutsättningar för ett förbud
Nästa fråga är under vilka förutsättningar som det ska vara möjligt för tillsynsmyndigheten att besluta att en överlåtelse inte ska få genomföras. Det är inte möjligt att uttömmande beskriva vilka situationer som skulle kunna medföra ett sådant beslut. När det gäller utkontraktering, upplåtelse och andra förfaranden som träffas av våra förslag i kapitel 6 är det tillräckligt att överlåtelsen anses olämplig från säkerhetsskyddssynpunkt. Frågan är om detta är ett tillräckligt högt ställt krav även när det gäller överlåtelser. En sådan lösning framstår som mest konsekvent med systemet i övrigt. Samtidigt kan den diskuteras eftersom det är fråga om en ingripande åtgärd som innebär en kraftig begränsning av verksamhetsutövares möjligheter att disponera över sin egendom. Detta kan tala för att man lägger ribban högre.
Ett sätt att kvalificera vilka överlåtelser som inte bör få genomföras är att utgå från säkerhetsskyddsklassificeringens system, som i sin tur bygger på vilken skada som ett röjande kan medföra för Sveriges säkerhet. Man skulle på detta sätt kunna dra gränsen vid överlåtelser som kan medföra en synnerligen allvarlig skada för Sverige. För en sådan restriktiv begränsning talar bl.a. att det är fråga om en mycket ingripande åtgärd ur den enskildes perspektiv och att denna typ av åtgärd inte tidigare har funnits. Mot en sådan ordning talar givetvis att överlåtelser som bedöms kunna medföra en något lägre grad av
323
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
skada också kan påverka Sveriges säkerhet. Ett alternativ kan vara att dra gränsen vid allvarlig skada, eller redan vid en inte obetydlig skada.
Ett tredje alternativ skulle kunna vara att det är tillräckligt att överlåtelsen är olämplig från säkerhetsskyddssynpunkt, men att det uttryckligen ställs ett krav på att åtgärden är proportionerlig. Detta skulle likna den lösning som vi förordar i fråga om möjligheten att ingripa i en pågående upphandling, utkontraktering eller annat pågående samarbete (se avsnitt 6.9).
Vår bedömning är att det tredje alternativet är mest ändamålsenligt. Det passar bäst in i det system som vi föreslår och lämnar ett lämpligt utrymme för tillsynsmyndigheterna att ingripa när det är angeläget. Genom att det införs ett uttryckligt krav på proportionalitet måste tillsynsmyndigheten väga de potentiella skadekonsekvenserna för Sveriges säkerhet mot de skador eller olägenheter som orsakas motstående intressen.
Tillsynsmyndighetens lämplighetsprövning bör inte bara avse konsekvenser utifrån tillgänglig kunskap vid en given tidpunkt utan också innefatta en framåtsyftande bedömning av vad en överlåtelse kan innebära på längre sikt. En fråga som bör analyseras är hur omvärldsförändringar kan tänkas påverka behovet av att en säkerhetskänslig verksamhet finns kvar i Sverige. Även detta perspektiv bör finnas med i bedömningen.
7.10.6 Samrådet bör kunna avslutas med föreläggande
I vissa fall kan en överlåtelse vara godtagbar från säkerhetsskyddssynpunkt under förutsättning att vissa villkor uppfylls. Det kan exempelvis vara fråga om krav på att en viss del av verksamheten även i fortsättningen bedrivs i Sverige. Det bör därför vara möjligt att avsluta samrådet med ett beslut som går ut på att överlåtelsen bara får genomföras på vissa angivna villkor. Detta kan lämpligen ske genom att samrådet får avslutas med föreläggande med detta innehåll. Vi återkommer i avsnitt 7.11 till konsekvenserna av att en överlåtelse sker i strid med ett förbud eller med villkor som ställts upp i ett föreläggande.
324
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
7.10.7 Handläggningen
Vi har i avsnitt 6.8.10 fört ingående resonemang om vad som bör gälla i fråga om handläggningen av samrådsärenden vid utkontraktering m.m. Det som sagts där är i allt väsentligt relevant även i fråga om sådana ärenden i samband med en överlåtelse. Vi hänvisar därför till den framställningen och de bedömningar vi där gjort i fråga om bl.a. sekretess, beslutsmotivering och kommuniceringsplikt. Detta innebär i korthet följande.
• Förvaltningslagen (2017:900, FL) gäller, och bör gälla även för
Säkerhetspolisens handläggning.
• Det finns inte behov av några nya undantag från reglerna om partsinsyn och kommunikation.
• Samrådet bör undantas från vissa av reglerna i FL om försenad handläggning.
• Det behöver inte göras något undantag i fråga om skyldigheten att motivera tillsynsmyndighetens beslut.
• Om det behövs bör tillsynsmyndigheten kunna bestämma att ett beslut om föreläggande ska gälla omedelbart.
Vi anser att Försvarsmakten eller Säkerhetspolisen även i överlåtelseärenden bör få tillfälle att yttra sig, om det inte är uppenbart obehövligt. Till skillnad från vad vi föreslagit i det nyss nämnda avsnittet anser vi dock att detta bör gälla i alla samrådsärenden i samband med en planerad överlåtelse, oavsett om tillsynsmyndigheten överväger att förbjuda överlåtelsen eller att avsluta samrådet utan åtgärd. Detta kan regleras i säkerhetsskyddsförordningen.
7.10.8 Tillsynsmyndigheten bör kunna initiera ett samråd
Man kan utgå ifrån att risken för att drabbas av sanktioner för den som inte samråder (se våra förslag i kapitel 9) är så pass avskräckande att det blir ovanligt att verksamhetsutövare och andra genomför samrådspliktiga överlåtelser utan att samråda. Det kan trots det inte uteslutas att detta kan inträffa i enstaka fall, t.ex. på grund av okunskap om reglerna. På de skäl som vi har anfört i avsnitt 6.8.11 anser
325
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
vi att det är nödvändigt att även tillsynsmyndigheten ska ha möjlighet att ta initiativ till ett samråd och att då använda sig av möjligheterna till föreläggande och förbud. Man bör då också kunna använda sig av de tvångsåtgärder som vi föreslår i avsnitt 7.13.
7.11 Verkan av att man genomför en överlåtelse utan samråd eller trots ett förbud
Förslag: I nya säkerhetsskyddslagen införs bestämmelser om ogil-
tighet och förelägganden med följande innebörd.
En överlåtelse är ogiltig om den har genomförts i strid med ett förbud eller ett föreläggande som meddelats vid påföljd av ogiltighet. Om en överlåtelse har gjorts utan att samråd skett och förutsättningarna för ett förbud är uppfyllda, får tillsynsmyndigheten i efterhand meddela ett sådant förbud. Överlåtelsen är även då ogiltig.
Om en överlåtelse är ogiltig får tillsynsmyndigheten meddela de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant föreläggande får förenas med vite.
Bedömning: Eftersom möjligheten att ingripa är avgörande för
upprätthållande av Sveriges säkerhet bör den inte begränsas i tiden. Det bör dock vid proportionalitetsbedömningen beaktas om lång tid har gått och konsekvenserna blir stora av att överlåtelsen blir ogiltig.
7.11.1 Överlåtelser bör i vissa fall vara ogiltiga
En viktig fråga är vilka konsekvenser som bör inträda om en verksamhetsutövare genomför en överlåtelse i strid med ett förbud eller i strid med villkor som tillsynsmyndigheten har beslutat om i ett föreläggande när ärendet avslutas. Till att börja med bör det, som vi utvecklar i kapitel 9, tas ut en kännbar sanktionsavgift av verksamhetsutövaren och även av den aktie- och andelsägare som försummar att samråda eller som överlåter aktier eller andelar i strid med ett
326
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
meddelat förbud. Vår bedömning är att risken att drabbas av sanktionsavgift i sig torde ha en kraftigt avskräckande verkan och att risken redan därigenom minskar för att verksamhetsutövare och andra kringgår bestämmelserna om samråd m.m. vid överlåtelse.
Frågan är nu om det bör finnas någon ytterligare konsekvens i fall där man har genomfört överlåtelsen i strid med ett förbud, ett villkor som tillsynsmyndigheten har beslutat om i ett föreläggande eller utan att samråda över huvud taget. Med hänsyn till våra förslag om sanktionsavgift är det troligt att det skulle bli mycket ovanligt att verksamhetsutövare och andra medvetet går fram med en överlåtelse i strid med ett förbud eller villkor eller utan att samråda. Däremot kan det något oftare tänkas förekomma att verksamhetsutövare eller aktie- och andelsägare av oaktsamhet underlåter att inleda samråd, kanske för att de inte har kunskap om regelverket. Risken för att olämpliga överlåtelser i enstaka fall genomförs trots de förebyggande åtgärder som vi har föreslagit tidigare i detta kapitel och förslagen om sanktionsavgift i kapitel 9 aktualiserar frågan om en ogiltighetskonsekvens.
Överlåtelse i strid med förbud eller villkor
Vår uppfattning är att en överlåtelse som genomförts i strid med förbud eller villkor i ett föreläggande inte bör tillmätas civilrättslig giltighet. En sådan överlåtelse bör alltså enligt vår mening vara ogiltig. Ogiltighet är en civilrättslig konsekvens som innebär att parterna inte kan kräva av den andra parten att fullgöra sin del av avtalet. Den som inte fullföljer avtalet begår alltså inget kontraktsbrott, varför det inte kan bli aktuellt med t.ex. kontraktsvite eller skadestånd på kontraktsrättslig grund. En domstol kan inte heller döma till fullgörelse av avtalet. En regel om ogiltighet kan därför förväntas avskräcka verksamhetsutövare och potentiella förvärvare ytterligare från att genomföra överlåtelser i strid med förbud eller villkor. I den mån förvärvet måste registreras på något sätt, torde myndigheter inte vara skyldiga att medverka till detta. Om förvärvet t.ex. omfattar fastigheter torde ogiltigheten innebära att inskrivningsmyndigheten inte ska utfärda lagfart (20 kap. 6 § 9 jordabalken). Redan risken för att motparten gör gällande ogiltigheten, med allt vad det innebär, kan förväntas ha en kraftigt avskräckande effekt.
327
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
Överlåtelse utan samråd
En annan situation kan vara att verksamhetsutövaren genomför en överlåtelse utan att ha genomgått det föreskrivna samrådsförfarandet, eller innan samrådet har avslutats. Detta behöver givetvis inte betyda att det hade funnits skäl för tillsynsmyndigheten att förbjuda överlåtelsen om samråd hade skett, men förhållandena kan också vara sådana att ett förbud skulle ha meddelats, eller att det hade ställts krav på villkor. Eftersom ogiltighet är en ingripande följd, som kan få stora ekonomiska och andra konsekvenser, bör överlåtelsen inte automatiskt anses ogiltig i sådana fall. I stället bör det finnas en regel som går ut på att frågan om ogiltighet bedöms på samma sätt som om ett samråd hade genomförts. Detta innebär att tillsynsmyndigheten bör ges möjlighet att förbjuda överlåtelsen i efterhand, om den är sådan att den skulle ha förbjudits i samrådet. Ogiltighet bör i så fall vara konsekvensen.
Närmare om ogiltigheten
Vår bedömning är att ogiltighet i samtliga fall bör vara en automatisk följd av de beslut som tillsynsmyndigheten fattar i de enskilda fallen. Det bör alltså inte krävas någon särskild ogiltighetstalan eller liknande för att ogiltighet ska inträda. En annan sak är att tillsynsmyndighetens beslut bör kunna överklagas, vilket vi återkommer till i avsnitt 7.12. Att påföljden för den som genomför överlåtelsen i strid med uppställda villkor är ogiltighet bör framgå av föreläggandet där villkoren ställs upp. Detta bör uttryckligen anges i lagtexten.
Föremålet för ogiltigheten bör enligt vår mening vara den del av avtalet som gäller överlåtelsen av verksamheten eller egendomen som omfattas av kravet på samråd. Ogiltigheten bör alltså innebära ett retroaktivt upphörande av överlåtelsen (jfr prop. 2009/10:180 s. 136). Det finns dock inte skäl för att utsträcka ogiltigheten till andra delar av avtalet. Tvärtom kan det finnas villkor i avtalet som reglerar just den situationen att överlåtelsen inte kommer till stånd, och som bör gälla.
328
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
Förutsättningar för att besluta om förbud i efterhand
Vi har tidigare utvecklat under vilka förutsättningar som tillsynsmyndigheten kan besluta om förbud i samrådet. I detta avsnitt ser vi närmare på förutsättningarna för att besluta om förbud efter att en överlåtelse genomförts.
Eftersom konsekvenserna för parterna kan bli stora bör ett förbud i efterhand bara beslutas om det är proportionerligt med hänsyn till de potentiella skadekonsekvenserna för Sveriges säkerhet och de motstående intressen som står på spel. Ju längre tid som har gått och ju mer parterna har inrättat sig efter överlåtelsen, desto högre krav bör ställas för att ett förbud i efterhand ska kunna komma i fråga. Det bör också ha betydelse om förbudet leder till att skador kan förhindras eller läkas, eller om ett förbud är meningslöst när överlåtelsen väl skett.
Om överlåtelsen visserligen har skett utan ett samråd men i och för sig är godtagbar, bör något förbud i efterhand inte meddelas. Då bör överlåtelsen inte heller anses ogiltig. Däremot aktualiseras även i en sådan situation möjligheten att meddela sanktionsavgift i enlighet med våra förslag i kapitel 9.
Så snart ett förbud eller föreläggande i efterhand aktualiseras bör tillsynsmyndigheten underrätta Säkerhetspolisen respektive Försvarsmakten, beroende på vilken av dessa myndigheter som har ansvaret för tillsyn över tillsynsmyndigheten.
Enligt vår uppfattning står det inte i strid med förbudet mot dubbelbestraffning att ett och samma förfarande kan bli både ogiltigt och föranleda en sanktionsavgift. Ogiltighet kan nämligen inte ses som en sådan sanktion som omfattas av förbudet mot dubbelbestraffning. Om det dessutom hanteras inom ramen för ett och samma förfarande är det under alla förhållanden godtagbart.
7.11.2 Tillsynsmyndigheten bör kunna meddela förelägganden mot både överlåtaren och förvärvaren
Ofta uppkommer frågan om avtals ogiltighet som ett resultat av en parts ovilja att fullfölja avtalet. Det skiljer sig från den situation som nu diskuteras, där ett avtal om överlåtelse av säkerhetskänslig verksamhet eller viss egendom är ett uttryck för parternas gemensamma
329
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
vilja. Drivkrafterna för att parterna ska väcka talan om att överlåtelsen ska återgå kan därför vara begränsade när ett sådant avtal förbjudits. Följden kan då bli att de negativa konsekvenserna för Sveriges säkerhet inte kan motverkas endast genom att överlåtelsen förbjuds och därmed blir ogiltig. Detta accentuerar vikten av att man till varje pris förebygger olämpliga överlåtelser hellre än att försöka avhjälpa skadan när överlåtelsen redan har ägt rum.
Som framgått i det föregående är ogiltighet en civilrättslig konsekvens mellan parterna. En följd av det är att tillsynsmyndigheten inte har någon möjlighet att se till att prestationerna faktiskt återgår. Om förvärvaren driver den säkerhetskänsliga verksamheten vidare i Sverige kan tillsynsmyndigheten visserligen meddela förelägganden som går ut på att förvärvaren ska förbättra sitt säkerhetsskyddsarbete på olika sätt. Detta har dock mindre betydelse om förvärvet i sig är olämpligt, t.ex. därför att det företag som förvärvat verksamheten är en bulvan för någon fientlig aktör som redan har fått del av t.ex. säkerhetsskyddsklassificerade uppgifter. Frågan är om det är möjligt och i så fall lämpligt att införa någon ytterligare möjlighet för tillsynsmyndigheterna, eller någon annan, att ingripa.
Man kan tänka sig olika lösningar. En skulle kunna vara att tillsynsmyndigheten får en möjlighet att väcka talan vid domstol, som i sin tur får möjlighet att besluta om att avtalsprestationerna ska återgå. En annan möjlighet är att tillsynsmyndigheterna ges möjlighet att meddela de förelägganden som behövs för att förhindra skada för Sveriges säkerhet. För att en sådan möjlighet skulle bli effektiv måste förelägganden kunna riktas mot både överlåtaren och förvärvaren. En ordning av detta slag har flera fördelar. Det framstår för det första som mest konsekvent med våra förslag i övrigt att tillsynsmyndigheterna även kan fatta beslut om de åtgärder som kan krävas när överlåtelsen har skett i strid med ett förbud, eller ett förbud har meddelats i efterhand. Det är också väl förenligt med den omständigheten att tillsynsmyndigheterna har stor kompetens på området och föreslås ha behörighet att meddela andra förelägganden på säkerhetsskyddsområdet. Denna lösning ger tillsynsmyndigheten ett batteri av åtgärder som kan anpassas till den aktuella situationen. Vi anser också att det är principiellt godtagbart att även förvärvaren träffas av sådana förelägganden, och detta även i det fallet att förvärvaren inte bedriver säkerhetskänslig verksamhet i Sverige. En annan sak är att det inte är
330
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
säkert att ett föreläggande i alla situationer kan verkställas om förvärvaren finns i utlandet, eftersom detta många gånger kräver medverkan från det andra landet. Det är nämligen inte tillåtet med svensk maktutövning på främmande stats territorium.
Tillsynsmyndigheten bör alltså ha möjlighet att meddela de förelägganden som behövs för att förhindra skada för Sveriges säkerhet. Ett föreläggande till en förvärvare av viss säkerhetskänslig egendom kan t.ex. gå ut på att förvärvaren ska återlämna egendomen till säljaren eller ett förbud mot att föra ut egendomen ur landet.
För att vara tillräckligt verkningsfullt bör föreläggandet kunna förenas med vite. Vid utdömande av vitet bör bestämmelserna i lagen (1985:206) om viten tillämpas.
När det gäller handläggningen hänvisas till våra bedömningar i avsnitt 7.10.7.
7.11.3 Det bör inte införas någon tidsgräns för ogiltighet och ingripande
Från säkerhetsskyddssynpunkt är det avgörande att tillsynsmyndigheten agerar omedelbart när den får vetskap om att en överlåtelse har genomförts utan samråd eller i strid med ett förbud eller villkor. Om tillsynsmyndigheten vill meddela ett förbud i efterhand, bör det alltså ske så snabbt som möjligt. Detsamma gäller om den vill framtvinga en överlåtelses återgång genom förelägganden. Ju längre det dröjer, desto större är risken att eventuella skador inte kan undvikas. Att ingripandet sker snabbt är dessutom viktigt med hänsyn till parterna, som snabbt inrättar sig efter en överlåtelse och kan ha berättigade förväntningar på dess fortlevnad. Eftersom möjligheten att ingripa är avgörande för upprätthållande av Sveriges säkerhet bör den trots detta inte begränsas i tiden. Som sagts tidigare bör det dock vid proportionalitetsbedömningen beaktas om lång tid har gått och konsekvenserna blir stora av att överlåtelsen blir ogiltig.
331
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
7.12 Överklagande
Förslag: Beslut om föreläggande inom samrådet överklagas till För-
valtningsrätten i Stockholm. Vid överklagande av ett sådant beslut är tillsynsmyndigheten motpart. Det krävs prövningstillstånd vid överklagande till kammarrätten.
Beslut om förbud mot överlåtelse överklagas till regeringen. Detsamma gäller beslut om förelägganden som avser en genomförd och ogiltig överlåtelse.
Beslut om förelägganden eller om förbud för en enskild att överlåta en viss verksamhet eller egendom torde som regel påverka den enskildes civila rättigheter och skyldigheter. Därmed är artikel 6 i Europakonventionen om rätt till domstolsprövning tillämplig. Det som vi har anfört om överklagande av förelägganden i avsnitt 6.10 är i allt väsentligt relevant även när det gäller överlåtelser. Det innebär att det enligt vår mening bör finnas en möjlighet att överklaga förelägganden som beslutas under samrådet till Förvaltningsrätten i Stockholm. Möjligheten bör gälla även för en myndighet som drabbats av ett föreläggande, trots att rättigheterna enligt artikel 6 inte gäller för dem.
Förbud mot överlåtelse kan ofta aktualisera den sorts utrikes-, försvars- och säkerhetspolitiska överväganden som bör hanteras av regeringen. Överklagande av sådana beslut bör därför ske till regeringen. Detta överensstämmer med vår bedömning avseende förbud mot t.ex. en viss utkontraktering eller upplåtelse, se avsnitt 6.10.3. Både enskilda och myndigheter bör, på i allt väsentligt samma skäl som anförts i det nyss nämnda avsnittet, kunna klaga på beslutet om det gått dem emot. I den mån artikel 6 är tillämplig kan kravet på domstolsprövning tillgodoses genom möjligheten att begära rättsprövning i Högsta förvaltningsdomstolen. Övervägandena om förbud gör sig gällande oavsett om förbudet meddelas i förväg eller efter att en överlåtelse redan skett.
En särskild fråga är vad som bör gälla i fråga om förelägganden som utfärdas i efterhand, dvs. förelägganden som avser ogiltiga överlåtelser. Vi anser att frågan har en så stark koppling till frågan om förbud att även sådana förelägganden bör överklagas till regeringen.
332
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
7.13 Det bör införas tvångsåtgärder
Förslag: Om det behövs för att ändamålet med ett förbud eller
föreläggande inte ska motverkas får Stockholms tingsrätt på yrkande av tillsynsmyndigheten besluta om kvarstad och andra sådana åtgärder som avses i 15 kap.1–3 §§rättegångsbalken. En åtgärd får beslutas även om föreläggandet eller förbudet inte fått laga kraft. Vid behandlingen av en fråga om tvångsåtgärder ska rätten tillämpa vad som gäller när en fråga om åtgärd enligt 15 kap. 1, 2 eller 3 § rättegångsbalken uppkommer i en rättegång. Ett yrkande får inte bifallas utan att motparten har fått tillfälle att yttra sig. Om det är fara i dröjsmål får dock rätten omedelbart bevilja åtgärden till dess annat beslutas.
Tillsynsmyndigheten ska genast meddela rätten när syftet med en tvångsåtgärd har uppnåtts, eller det av någon annan anledning inte längre finns skäl för åtgärden. Rätten ska omedelbart upphäva en tvångsåtgärd om det inte längre finns skäl för åtgärden. Rätten ska ompröva åtgärden med fyra veckors mellanrum. Åtgärden får inte upphävas utan hörande av tillsynsmyndigheten.
Vår bedömning är att de åtgärder som vi har föreslagit tidigare i detta kapitel ger goda möjligheter att förebygga överlåtelser som är olämpliga från säkerhetsskyddssynpunkt. De förelägganden som vi föreslagit i avsnitt 7.11 kan i många fall antas ge tillsynsmyndigheterna goda verktyg för att förhindra skada för Sveriges säkerhet i samband med överlåtelser. Det kan dock finnas fall där det behöver vidtas omedelbara åtgärder för att förhindra sådan skada. Ett exempel kan vara att en utländsk aktör har förvärvat egendom av betydelse för Sveriges säkerhet med antagonistiska syften, och att det finns en överhängande risk för att egendomen förs ut ur landet. Med hänsyn till att svenska myndigheter inte kan ingripa på främmande territorium, och till att man inte kan räkna med att en främmande stat medverkar – eller att medverkan i så fall sker skyndsamt – kan det många gånger vara helt avgörande att man kan förhindra utförsel av egendom. Det kan även finnas andra situationer där det är nödvändigt med ett omedelbart ingripande för att förhindra att en skada för Sveriges säkerhet sker.
333
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
Vår bedömning är att de förelägganden som vi har föreslagit i det föregående inte fullt ut tillgodoser behovet av att snabbt kunna ingripa. Behovet tillgodoses inte heller av det straffprocessuella regelverket, eftersom det många gånger inte kommer att pågå någon förundersökning. Vi anser att behovet inte heller fullt ut tillgodoses av regler som kan finnas på andra områden, t.ex. export av krigsmateriel. Med hänsyn till det anser vi att den möjlighet som vi föreslagit i avsnitt 6.12 att vid domstol begära tvångsåtgärder enligt 15 kap. rättegångsbalken bör gälla också vid överlåtelser. De överväganden och bedömningar som vi gjort där om förutsättningarna för tvångsmedel, behörig domstol och förfarandet m.m. gäller även här. Det innebär följande.
Om det behövs för att ändamålet med ett förbud eller föreläggande inte ska motverkas bör Stockholms tingsrätt på yrkande av tillsynsmyndigheten kunna besluta om kvarstad och andra sådana åtgärder som avses i 15 kap.1–3 §§rättegångsbalken. En åtgärd bör få beslutas även om föreläggandet eller förbudet inte fått laga kraft. Vid behandlingen av en fråga om tvångsåtgärder bör samma bestämmelser gälla som när en fråga om åtgärd enligt 15 kap. 1, 2 eller 3 § rättegångsbalken uppkommer i en rättegång. Utgångspunkten bör vara att ett yrkande inte får bifallas utan att motparten har fått tillfälle att yttra sig, men om det är fara i dröjsmål bör dock rätten få omedelbart bevilja åtgärden till dess annat beslutas.
Tillsynsmyndigheten bör vara skyldig att bevaka att behov av åtgärden fortfarande finns och att meddela rätten om behovet har upphört. Rätten bör vara skyldig att omedelbart upphäva en tvångsåtgärd om det inte längre finns skäl för åtgärden, och dessutom att ompröva åtgärden med fyra veckors mellanrum. Åtgärden bör dock inte få upphävas utan hörande av tillsynsmyndigheten. Proportionalitetsregeln bör gälla även i fråga om tvångsåtgärderna.
7.14 Förslagens förhållande till egendomsskyddet och rätten till ersättning
Bedömning: Förslagen är förenliga med regeringsformens och
Europakonventionens skydd för egendom. Någon rätt till ersättning vid rådighetsinskränkning som grundas på säkerhetsskyddslagen bör inte införas.
334
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
Vi har i avsnitt 3.6 och 6.13 ganska ingående redogjort för bestämmelser om egendomsskydd i regeringsformen och första tilläggsprotokollet till Europakonventionen. Vi har i det sistnämnda avsnittet kommit fram till att våra förslag i kapitel 6 om förbud mot upplåtelser kan vara en sådan inskränkning av rätten att använda mark och byggnader som avses i 2 kap. 15 § regeringsformen, dvs. en rådighetsinskränkning. Vi gör samma bedömning när det gäller förbud mot överlåtelser som avser eller omfattar fast egendom. På motsvarande skäl som anförts i det nyssnämnda avsnittet anser vi alltså att rådighetsinskränkningen är godtagbar.
Med hänsyn till de tungt vägande intressen som säkerhetsskyddslagen skyddar och till att tillsynsmyndigheten bara får hindra en överlåtelse när det är proportionerligt anser vi även att regleringen som föreslås i det här kapitlet är förenlig med Sveriges åtaganden enligt artikel 1 i första tilläggsprotokollet till Europakonventionen.
De skäl som vi har anfört i avsnitt 6.13 till grund för bedömningen att det inte bör införas en särskild reglering om rätt till ersättning vid rådighetsinskränkningar som grundas på säkerhetsskyddslagen är i allt väsentligt relevanta även i fråga om överlåtelser. Regleringen rör nämligen enbart de allra mest skyddsvärda verksamheterna i samhället och det får antas bli mycket ovanligt att förbud mot överlåtelser meddelas. Denna bedömning stöds av erfarenheter från det s.k. snabbspåret, dvs. möjligheten att med stöd av 16 a § säkerhetsskyddsförordningen hindra vissa säkerhetsskyddade upphandlingar. Hittills har nämligen följsamheten varit stor inom samrådsförfarandet och något förbud har inte behövt meddelas. Bedömningen stöds även av erfarenheter från Finland, där det hittills aldrig har meddelats förbud mot ett utländskt förvärv med stöd av den särskilda regleringen som gäller där (se avsnitt 4.3). Man kan även snegla på konkurrenslagstiftningen, enligt vilken det finns en möjlighet att förbjuda olagliga företagskoncentrationer. Såvitt vi känner till har ingen koncentration ännu slutgiltigt förbjudits av den domstol som är sista instans i sådana mål. I stället har problemen undanröjts genom s.k. frivilliga åtaganden (se 4 kap. 4 § konkurrenslagen) eller genom att förvärvsparterna valt att inte genomföra den planerade koncentrationen.
10
10 Carlsson & Bergman, Konkurrenslagen(Zeteo 2018-05-29), kommentaren till 4 kap. konkurrenslagen.
335
Överlåtelse av säkerhetskänslig verksamhet SOU 2018:82
Med hänsyn till det anförda föreslår vi alltså inte någon särskild rätt till ersättning vid förbud mot överlåtelse. I de sällsynta fall då förbud kan komma att meddelas får alltså andra lösningar sökas, om det är motiverat. Ett alternativ är att regeringen utnyttjar sin möjlighet att besluta om ersättning ex gratia. En annan möjlighet är att statsmakten förvärvar verksamheten i fråga om det bedöms som lämpligt. En sådan situation kan aktualiseras när en säkerhetskänslig verksamhet är olönsam och verksamhetsutövaren avser att lägga ned den om den inte får överlåtas. Om verksamheten bedöms viktig i förhållande till Sveriges säkerhet, t.ex. därför att den försörjer andra viktiga verksamheter på något sätt, kan det alltså finnas skäl för statsmakten att förvärva verksamheten. Sådan kunskap kan regeringen t.ex. få i myndighetsdialogen med tillsynsmyndigheterna, som enligt våra förslag ska ha kunskap om verksamhetsutövare och skyddsvärden inom respektive tillsynsområde. Hur ovanstående ska lösas i varje enskilt fall låter sig enligt vår mening dock inte regleras i författning.
7.15 Anmälnings-, upplysnings- och rapporteringsplikt
Förslag: Anmälningsplikten vid överlåtelser av säkerhetskänslig
verksamhet upphävs till följd av våra förslag om samråd. Denna ersätts av en rapporteringsplikt för en verksamhetsutövare som får kännedom om att någon annan än verksamhetsutövaren planerar att överlåta eller har överlåtit verksamheten eller sådan egendom i verksamheten som har betydelse för Sveriges säkerhet eller för ett för Sverige förpliktande åtagande om säkerhetsskydd. Verksamhetsutövaren ska i ett sådant fall skyndsamt anmäla förhållandet till tillsynsmyndigheten.
Skyldigheten för en verksamhetsutövare som överlåter säkerhetskänslig verksamhet att upplysa förvärvaren om att säkerhetsskyddslagen gäller görs tillämplig även i fall där överlåtelsen sker till en offentlig aktör. Bestämmelsen flyttas från nya säkerhetsskyddsförordningen till nya säkerhetsskyddslagen.
Våra förslag om en obligatorisk samrådsskyldighet gör att bestämmelserna i 2 kap. 9 § första stycket nya säkerhetsskyddsförordningen om anmälningsskyldighet vid överlåtelse av säkerhetskänslig verksamhet till någon enskild framstår som överflödig. Däremot anser vi att
336
SOU 2018:82 Överlåtelse av säkerhetskänslig verksamhet
det även i fortsättningen finns behov av att den som överlåter en säkerhetskänslig verksamhet upplyser förvärvaren om detta (andra stycket i den nyss nämnda paragrafen). Bestämmelsen bör gälla både för offentliga och enskilda verksamhetsutövare och oavsett om förvärvaren är en enskild eller en offentlig aktör. Den innebär åligganden för enskilda och kommuner och bör därför flyttas upp till lagnivå.
Vidare ser vi att det kan finnas behov av en rapporteringsplikt i de fall där verksamhetsutövaren inte själv har en skyldighet att samråda men får kännedom om att en överlåtelse av verksamheten eller egendom i verksamheten förbereds, genomförs eller har genomförts. En sådan rapporteringsplikt skulle t.ex. aktualiseras när verksamhetsutövaren får kännedom om att enskilda aktieägare eller andelsägare avser att genomföra en överlåtelse. Denna bestämmelse skulle ge tillsynsmyndigheterna bättre förutsättningar att agera i tid och förbygga att överlåtelser som är olämpliga från säkerhetsskyddssynpunkt genomförs. En bestämmelse med detta innehåll kan lämpligen införas genom att det tas in ett nytt tredje stycke i 2 kap. 10 § nya säkerhetsskyddsförordningen. Rapporteringsplikten, som är en sådan rapporteringsplikt som avses i 2 kap. 1 § tredje stycket nya säkerhetsskyddslagen, bör vara sanktionerad. Detta utvecklas närmare avsnitt 9.8.
7.16 Bemyndiganden
Som vi anfört i avsnitt 6.14 bör det införas ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela ytterligare föreskrifter om samråd, föreläggande, förbud och tvångsåtgärder. Vi hänvisar till det som sagts där.
337
8 Tillsyn
8.1 Uppdraget
Bakgrund till uppdraget
Ansvaret för tillsyn över säkerhetsskyddet är i dag uppdelat mellan flera myndigheter, varvid Säkerhetspolisen och Försvarsmakten har ett huvudansvar. Den ordning som gäller enligt säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633), i det följande kallade gamla säkerhetsskyddslagenrespektive gamla säkerhetsskydds-
förordningen, har i allt väsentligt förts över till säkerhetsskyddslagen
(2018:585) och säkerhetsskyddsförordningen (2018:658), i det följande kallade nya säkerhetsskyddslagenrespektive nya säkerhetsskyddsför-
ordningen.
I säkerhetsskyddsregleringen ges inga befogenheter för tillsynsmyndigheterna att ingripa. En grundläggande förutsättning för tillsynen av säkerhetsskyddet är därför att de som omfattas av säkerhetsskyddslagen samarbetar med tillsynsmyndigheterna och rättar sig efter de anvisningar och rekommendationer som lämnas inom ramen för tillsynsverksamheten.
Utredningen om säkerhetsskyddslagen konstaterade i betänkandet En ny säkerhetsskyddslag (SOU 2015:25) att formerna för tillsynen av säkerhetsskyddet i väsentliga avseenden avviker från hur offentlig tillsyn normalt är ordnad. Utredningen framhöll att tillsynen har ett stort inslag av råd och stöd till verksamhetsutövarna. Man konstaterade också att ingripandebefogenheter vid tillsyn är av betydelse. Samtidigt underströk utredningen att det finns svårigheter med att förena en rådgivande roll med en kontrollerande roll och att det vore olyckligt med en utveckling mot att myndigheter som utövar tillsyn är så restriktiva i sin rådgivning att det innebär ett försämrat säkerhetsskydd. Vidare framhöll man att det finns en betydande risk för att varningar, vitessanktionerade åtgärdsförelägganden och liknande
339
Tillsyn SOU 2018:82
skulle kunna medföra att värdefullt erfarenhetsutbyte motverkas (s. 482–484). Utredningen stannade för bedömningen att det vid tidpunkten inte fanns tillräckliga skäl för att förändra tillsynens inriktning och genomförande. Utredningen lade däremot fram vissa förslag om ändringar i fråga om placeringen av tillsynsansvaret. Man föreslog nämligen att Myndigheten för Samhällsskydd och beredskap (MSB) ska ta över tillsynsansvaret för kommuner och landsting från Säkerhetspolisen och även länsstyrelsernas ansvar för enskilda verksamheter som inte ligger under någon annan myndighets tillsynsområde. Förslaget beträffande MSB fick ett blandat mottagande i samband med remitteringen av betänkandet.
Uppdraget
Vi har fått i uppdrag att lämna förslag på hur tillsynen över säkerhetsskyddet ska utformas. Närmare bestämt ska vi
• föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagen ska bedrivas, bl.a. mot bakgrund av införandet av sanktioner i säkerhetsskyddslagen,
• analysera och föreslå vilka myndigheter, utöver Säkerhetspolisen och Försvarsmakten, som ska ha ansvar för tillsyn enligt lagstiftningen, och
• utarbeta nödvändiga författningsförslag.
Enligt direktiven finns det anledning att på nytt utreda vilka myndigheter som bör ha uppgifter för tillsyn enligt säkerhetsskyddslagstiftningen, bl.a. mot bakgrund av de synpunkter som har lämnats under remitteringen av betänkandet En ny säkerhetsskyddslag (SOU 2015:25) och genomförandet av det s.k. NIS-direktivet.
1
En eventuellt ny
tillsynsstruktur ska dock, som i dag, bygga på att det huvudsakliga ansvaret för tillsynen vilar på Säkerhetspolisen och Försvarsmakten inom respektive myndighets ansvarsområde. Om sanktioner införs i lagstiftningen, vilket vi föreslår i kapitel 9, blir det enligt direktiven nödvändigt att tillsynen inriktas mot tillsyn i mer traditionell mening.
1 Europaparlamentets och rådets direktiv (EU) 2016/1148 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. Sedan den 1 augusti 2018 gäller lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.
340
Tillsyn
Där sägs det vidare att man behöver analysera hur tillsyn, rådgivning och stödverksamhet ska bedrivas och att det eventuellt behöver ske ändringar jämfört med i dag, t.ex. i fråga om tillsynsmyndigheternas befogenheter.
Definitioner och avgränsningar
Begreppet tillsyn definieras varken i gamla säkerhetsskyddslagen eller säkerhetsskyddsförordningen. I betänkandet Säkerhetsskydd (SOU 1994:149) anges att med tillsyn menas utövande av kontroll över annans verksamhet. Vidare anges att det får anses falla inom tillsynsmyndigheternas ansvar att i möjligaste mån biträda myndigheter och andra med råd om säkerhetsskydd (s. 243 och 245). I propositionen Säkerhetsskydd (prop. 1995/96:129) anges att tillsyn är utövande av kontroll över annans verksamhet (s. 70).
I avsnitt 8.3, 8.4.2 och 8.8 kommer vi att närmare utveckla vad vi menar att begreppet tillsyn omfattar. Det finns dock redan nu anledning att kortfattat belysa frågan i förhållande till vårt uppdrag.
Enligt regeringens skrivelse En tydlig, rättssäker och effektiv tillsyn (skr. 2009/10:79) bör begreppet tillsyn främst användas för verksamhet som avser en självständig granskning för att kontrollera om tillsynsobjekt uppfyller krav som följer av lagar och andra bindande föreskrifter och vid behov kan leda till beslut om åtgärder som syftar till att åstadkomma rättelse av den som är ansvarig för tillsynsobjektet (s. 15). Tillsyn ska därmed skiljas från internkontroll som är kontroll av den egna verksamheten, även om den i vissa delar utförs av annan, t.ex. genom utkontraktering. Att verksamhetsutövaren har ett ansvar att kontrollera säkerhetsskyddet framgår av 2 kap. 1 § tredje stycket nya säkerhetsskyddslagen. Vårt uppdrag och våra överväganden handlar om tillsyn och inte om internkontroll. Tillsyn bör också skiljas från rådgivning, som inte är en del av tillsyn. Som vi kommer att återkomma till i avsnitt 8.17 är det problematiskt om den som ska utöva tillsyn också har i uppgift att lämna råd till den som bedriver den verksamhet som tillsynen gäller.
341
Tillsyn SOU 2018:82
Riksdagens tillkännagivanden
I samband med att den nya säkerhetsskyddslagen antogs gjorde riksdagen vissa tillkännagivanden till regeringen, varav två handlar om tillsyn (bet. 2017/18:JuU21 och rskr. 2017/18:289).
Riksdagen tillkännagav för det första att tillsynsmyndigheternas ansvar och befogenheter bör regleras i den nya säkerhetsskyddslagen och inte, som regeringen föreslagit i prop. 2017/18:89, i en förordning. Enligt riksdagens mening är t.ex. Försvarsmaktens och Säkerhetspolisens ansvar när det gäller tillsyn och möjligheter att stoppa en överlåtelse eller utkontraktering av säkerhetskänslig verksamhet av sådan vikt att dessa befogenheter bör regleras i lag och inte i en förordning. Detta skulle enligt riksdagen ge ett mer robust regelverk. Regeringen bör enligt utskottets mening skyndsamt återkomma till riksdagen med ett sådant förslag.
För det andra tillkännagav riksdagen att det behöver genomföras en bred översyn av samtliga tillsynsmyndigheters ansvar, organisation och resursfördelning. Riksdagen framhöll det ökade stöd som myndigheter och andra aktörer kommer att behöva från tillsynsmyndigheterna när den nya lagen ska tillämpas, varför det ansågs viktigt att dessa myndigheter har en ändamålsenlig organisation och på ett effektivt sätt kan främja säkerhetsskyddet hos aktörerna.
8.2 Den relevanta regleringen
Säkerhetsskyddsregleringen innehåller i dag få bestämmelser om tillsyn. I 5 kap. 4 § nya säkerhetsskyddslagen anges endast följande. Den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för. Den myndighet som regeringen bestämmer får utöva tillsyn hos leverantörer som har träffat säkerhetsskyddsavtal.
I 7 kap. 1 § nya säkerhetsskyddsförordningen finns bestämmelserna om vilka myndigheter som utövar tillsynen. Strukturen överensstämmer i princip med vad som har gällt hittills (jfr 39 och 40 §§ gamla säkerhetsskyddsförordningen). Av paragrafen framgår följande.
342
Tillsyn
Tillsyn över säkerhetsskyddet ska utövas av
1. Försvarsmakten när det gäller Fortifikationsverket och Försvarshögskolan samt de myndigheter som hör till Försvarsdepartementet,
2. Säkerhetspolisen när det gäller övriga myndigheter, utom Justitiekanslern, samt kommuner och landsting,
3. Affärsverket svenska kraftnät när det gäller enskilda verksamhetsutövare som bedriver elförsörjningsverksamhet,
4. Transportstyrelsen när det gäller enskilda verksamhetsutövare som bedriver flygtrafiktjänst för civil luftfart, flygtrafikledningstjänst för militär luftfart och verksamhet som i övrigt är av betydelse för luftfartsskydd, hamnskydd och sjöfartsskydd,
5. Post- och telestyrelsen (PTS) när det gäller enskilda verksamhetsutövare som bedriver verksamhet som avser elektronisk kommunikation och posttjänst, och
6. länsstyrelserna när det gäller enskilda verksamhetsutövare som
bedriver andra säkerhetskänsliga verksamheter än sådana som anges i 3–5.
De angivna myndigheter får inom sitt tillsynsområde utöva tillsyn över säkerhetsskyddet hos leverantörer som omfattas av ett säkerhetsskyddsavtal enligt 2 kap. 6 § nya säkerhetsskyddslagen. Sådan tillsyn får också avse enskilda verksamhetsutövare som leverantören har anlitat inom ramen för säkerhetsskyddsavtalet.
Säkerhetspolisen och Försvarsmakten får även utöva tillsyn inom de andra tillsynsmyndigheternas ansvarsområden (7 kap. 2 § nya förordningen). När en sådan tillsynsåtgärd har vidtagits ska den ordinarie tillsynsmyndigheten underrättas. Säkerhetspolisen och Försvarsmakten får även utöva tillsyn över leverantörer som har uppdrag för flera verksamhetsutövare om leverantörens samlade uppdrag är av stor betydelse för Sveriges säkerhet.
I 7 kap. 3 § nya förordningen finns det bestämmelser om anmälan till regeringen i vissa fall. Om det vid utövande av tillsyn över säkerhetsskyddet konstateras allvarliga brister som trots påpekanden inte rättas till, ska Säkerhetspolisen eller Försvarsmakten anmäla förhållandet till regeringen. Det gäller dock inte brister hos sådana enskilda
343
Tillsyn SOU 2018:82
verksamhetsutövare där villkoren för säkerhetsskyddet angetts i ett säkerhetsskyddsavtal. Om sådana allvarliga brister som nyss sagts konstateras av någon annan av tillsynsmyndigheterna, ska tillsynsmyndigheten i fråga informera Säkerhetspolisen och Försvarsmakten.
8.2.2 Tillsyn enligt lagen om informationssäkerhet för samhällsviktiga och digitala tjänster
Sedan den 1 augusti 2018 gäller lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster (i det följande kallad
NIS-lagen). Genom NIS-lagen genomförs det s.k. NIS-direktivet.
Direktivet innebär att leverantörer av samhällsviktiga tjänster inom sektorerna energi, transporter, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten och digital infrastruktur samt leverantörer av digitala tjänster, blir skyldiga att vidta säkerhetsåtgärder, förebygga och hantera incidenter i sina nätverk och informationssystem och rapportera incidenter som påverkar kontinuiteten i tjänsterna. Direktivets inriktning medför att säkerhetsskyddsregleringen och bestämmelserna om informationssäkerhet för samhällsviktiga och digitala tjänster angränsar till varandra och har många beröringspunkter. NIS-lagen och dess förarbeten är intressanta för vårt arbete, eftersom man i det sammanhanget har övervägt hur tillsyn på området ska gå till. Tillsynsfrågorna har i huvudsak reglerats enligt följande.
Tillsynen fördelas på sex myndigheter enligt följande uppställning.
Tillsynsmyndighet
Sektor
Statens energimyndighet
Energi
Transportstyrelsen
Transport
Finansinspektionen Bankverksamhet Finansinspektionen Finansmarknadsinfrastruktur Inspektionen för vård och omsorg Hälso- och sjukvård Livsmedelsverket Leverans och distribution av dricksvatten Post- och telestyrelsen Digital infrastruktur
Tillsynsmyndigheten ska utöva tillsyn över att den nya lagen och föreskrifter som har meddelats i anslutning till lagen följs. Tillsynsåtgärder i förhållande till leverantörer av digitala tjänster får vidtas
344
Tillsyn
endast när tillsynsmyndigheten har befogad anledning att anta att en sådan leverantör inte uppfyller de krav på säkerhetsåtgärder och incidentrapportering som lagen ställer.
Den som står under tillsyn ska på begäran ge tillsynsmyndigheten den information som behövs för tillsynen. Närmare bestämmelser om vilken information som leverantörer av samhällsviktiga tjänster och leverantörer av digitala tjänster ska vara skyldiga att tillhandahålla tillsynsmyndigheten meddelas i förordning eller myndighetsföreskrifter.
Om det behövs för tillsynen har tillsynsmyndigheten rätt att få tillträde till områden, lokaler och andra utrymmen som används i verksamhet som omfattas av den nya lagen. Tillträdesrätten omfattar dock inte bostäder.
Tillsynsmyndigheten får förelägga den som står under tillsyn att tillhandahålla information och att ge tillträde till lokaler och liknande. Ett sådant föreläggande får förenas med vite. Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder.
Tillsynsmyndigheten får meddela de förelägganden som behövs för att leverantörerna ska uppfylla kraven på utseende av företrädare, vissa säkerhetsåtgärder och incidentrapportering enligt NIS-lagen och enligt föreskrifter som har meddelats i anslutning till lagen. Ett sådant föreläggande får förenas med vite. Tillsynsmyndigheten kan även besluta om sanktionsavgift för vissa överträdelser.
Tillsynsmyndigheten får bestämma att ett beslut om föreläggande ska gälla omedelbart.
Tillsynsmyndighetens beslut om bl.a. föreläggande kan överklagas till allmän förvaltningsdomstol. I bestämmelsen anges det att tillsynsmyndigheten vid ett sådant överklagande är motpart i domstolen. Prövningstillstånd krävs vid överklagande till kammarrätten.
8.3 Utgångspunkter
Bedömning: Tillsynen enligt säkerhetsskyddslagen bör vara för-
enlig med de bedömningar och principer som slagits fast i regeringens skrivelse En tydlig, rättssäker och effektiv tillsyn (skr. 2009/10:79).
345
Tillsyn SOU 2018:82
I skrivelsen En tydlig, rättssäker och effektiv tillsyn (skr. 2009/10:79) redovisar regeringen generella bedömningar om hur en tillsynsreglering bör vara utformad. I skrivelsen anges bland annat följande (s. 12–27).
• Begreppet tillsyn bör främst användas för verksamhet som avser självständig granskning för att kontrollera om tillsynsobjekt uppfyller krav som följer av lagar och andra bindande föreskrifter.
• Tillsyn bör vid behov kunna leda till beslut om åtgärder som syftar till att åstadkomma rättelse av den objektsansvarige.
• Det materiella innehållet och de krav som ställs skiljer sig mellan lagar inom olika sektorer. Så långt det är möjligt med hänsyn till förutsättningarna inom de specifika tillsynsområdena bör dock regelverket för tillsyn vara enhetligt.
• De förhållanden som råder inom ett tillsynsområde kan utgöra skäl för att göra avsteg från de generella bedömningarna, och då kan enhetlighet och samordning mellan tillsynsregleringar behöva stå tillbaka.
• Tillsyn bör utföras av ett organ som är självständigt från den verksamhet som tillsynen riktas mot. Detta garanterar trovärdigheten i tillsynen. I de fall då statliga myndigheter eller kommuner ska ansvara för både drift och tillsyn av en verksamhet bör självständigheten garanteras genom en tydlig åtskillnad av ansvaret för drift och tillsyn inom organisationen.
• Tillsynsorgan bör ha rätt att av den som är ansvarig för tillsynsobjektet få del av de upplysningar eller handlingar som behövs för tillsynen.
• Tillsynsorgan bör ha tillträdesrätt till alla utrymmen som används i den tillsynspliktiga verksamheten. Tillträdesrätten bör dock enbart inkludera bostäder om det är nödvändigt för att tillsynsorganet ska kunna bedriva en effektiv tillsyn.
• Bestämmelser om tillträdes- och undersökningsrätt bör bestå av två delar; en rätt att få vistas på ett visst område eller komma in i ett utrymme och en rätt att där ta föremål i anspråk för att genomföra granskning. I båda fallen bör åtgärden som huvudregel få vidtas även om den objektsansvarige motsätter sig detta.
346
Tillsyn
• I de fall tillsynsorganet inte kan få tillträde till ett utrymme kan det vara nödvändigt med biträde från exempelvis Polismyndigheten eller Kronofogdemyndigheten.
• Det är i allmänhet inte lämpligt att tillsynsmyndigheten uppträder som konsult och ger råd om hur tillsynsobjekten ska agera i specifika ärenden. Det kan t.ex. uppstå svårigheter om tillsynsmyndigheten tidigare lämnat mycket precisa råd i ärenden som sedan blir föremål för tillsyn. Tillsynsmyndigheten måste dock kunna lämna upplysningar om vad som utgör gällande rätt. Inom vissa tillsynsområden kan skäl tala för att även rekommendationer och vägledning ska vara en del av tillsynen.
• Samordning mellan tillsynsorgan är viktig, framför allt för att tillsynen ska vara effektiv, men även för att den tillsynspliktiga verksamheten inte ska störas mer än nödvändigt.
• Ett utökat informationsutbyte mellan tillsynsorgan bör främjas med beaktande av föreskrifter om sekretess och behandling av personuppgifter. Om det anses nödvändigt att införa en uppgiftsskyldighet bör denna utformas så precist som möjligt.
De ställningstaganden som regeringen gett uttryck för är enligt vår bedömning i högsta grad relevanta när det gäller tillsyn enligt säkerhetsskyddslagen. Tillsynen bör därför vara ordnad i enlighet med dessa ställningstaganden. Dessa bör därför vara utgångspunkten såväl för vår analys av vilket utvecklingsbehov som finns, som hur tillsynen bör vara ordnad i framtiden.
En annan utgångspunkt bör vara att den granskning som sker inom ramen för tillsynen bör ha en kvalitativ inriktning. Det bör alltså inte handla enbart om att tillsynsmyndigheten ”bockar av” t.ex. att en viss dokumentation finns, utan det bör också göras en bedömning av hur det som granskas fungerar i praktiken (jfr Tillitsdelegationens delbetänkande En lärande tillsyn – Statlig granskning som bidrar till
verksamhetsutveckling i vård, skola och omsorg, SOU 2018:48).
347
Tillsyn SOU 2018:82
8.4 Utvecklingsbehovet
Bedömning: Vi har identifierat följande huvudsakliga brister när
det gäller tillsynsverksamheten och regleringen av tillsynen på säkerhetsskyddsområdet.
• Det är inte definierat och avgränsat vad tillsynen syftar till och avser.
• Ingen myndighet har en samlad bild över tillsynen.
• Det är inte reglerat hur tillsynsmyndigheterna ska utbyta information med Säkerhetspolisen och Försvarsmakten.
• Tillsynsmyndigheter saknar de befogenheter som krävs för att kunna genomföra en effektiv tillsyn och åstadkomma rättelse.
• I dagsläget bedrivs tillsyn i alltför begränsad omfattning.
• Tillsynskompetensen behöver öka hos många tillsynsmyndigheter.
• På flera områden saknas det överblick av tillsynsobjekten och deras antal.
8.4.1 Inledning
I det här avsnittet analyserar vi vilket utvecklingsbehov som finns när det gäller tillsynen på säkerhetsskyddsområdet. Som nämndes i förra avsnittet utgår analysen från de principer som slagits fast i regeringens skrivelse En tydlig, rättssäker och effektiv tillsyn (skr. 2009/10:79). Därutöver beaktar vi de särskilda förhållanden som råder i fråga om säkerhetsskyddet.
Som ett underlag för våra överväganden i fråga om tillsyn har vi med hjälp av en enkätundersökning kartlagt hur den nuvarande tillsynsverksamheten bedrivs. Utöver enkäten har vi samlat in information och synpunkter om tillsynsverksamheten och behoven av tillsyn vid ett antal sammanträden med myndigheter samt militära och civila företag vars verksamhet har anknytning till säkerhetsskydd, se avsnitt 2.3. Vidare har vi fått värdefulla synpunkter från utredningens experter och sakkunniga.
348
Tillsyn
8.4.2 Tillsynen är inte definierad och avgränsad
För att tillsynen ska vara verkningsfull och förutsägbar krävs det enligt vår mening att det inte råder något tvivel om när en myndighet uppträder i rollen som tillsynsmyndighet, vad som är föremål för tillsyn och hur tillsynen ska gå till. Detta utvecklas i det följande.
Som nämnts i avsnitt 8.1 har begreppet tillsyn inte definierats i lag. I propositionen Säkerhetsskydd (prop. 1995/96:129 s. 70) anges att det är fråga om utövande av kontroll över annans verksamhet. Någon uttrycklig avgränsning till närliggande verksamhet som vägledning, rådgivning och utbildning finns inte.
I 47 § gamla säkerhetsskyddsförordningen framgår att Säkerhetspolisen på begäran ska lämna råd om säkerhetsskydd till Regeringskansliet, riksdagen och dess myndigheter och till Justitiekanslern. Det är alltså fråga om rådgivning som lämnas till myndigheter som inte står under tillsyn enligt säkerhetsskyddsregleringen (se 1 och 2 §§ gamla säkerhetsskyddsförordningen). I övrigt finns inga bestämmelser om rådgivning eller vägledning i gamla säkerhetsskyddsregleringen.
När det gäller den nya säkerhetsskyddsregleringen följer det av bestämmelser i 7 kap. 10 och 11 §§ nya säkerhetsskyddsförordningen att tillsynsmyndigheterna är skyldiga att bedriva rådgivande verksamhet. Bestämmelsen i 7 kap. 10 § första stycket motsvarar 47 § gamla säkerhetsskyddsförordningen. Enligt 7 kap. 11 § ska vidare de myndigheter som utövar tillsyn över enskilda verksamhetsutövare inom sina respektive ansvarsområden lämna råd om säkerhetsskydd. I förarbetena till den nya säkerhetsskyddslagen (prop. 2017/18:89 s. 130 och 131) anges att det kommer att föreligga ett ökat behov av rådgivning och stöd från Säkerhetspolisen och Försvarsmakten när det gäller bl.a. säkerhetsskyddsanalys, informationssäkerhet och säkerhetsskyddsklassificering av information. Där anges också att tillsynsmyndigheterna kommer att behöva vägleda enskilda verksamheter i fråga om säkerhetsskyddslagens tillämplighet. Sådan vägledning kan innebära framtagande av manualer eller liknande som kan vara ett stöd för att kunna identifiera vad som inom det aktuella området utgör säkerhetskänslig verksamhet.
Begreppet rådgivning har alltså inte definierats i säkerhetsskyddslagstiftningen. Enligt vår mening finns det därför en risk för att råd lämnas om vad som ska göras snarare än hur något bör göras. Detta
349
Tillsyn SOU 2018:82
medför att råd som tillsynsmyndigheten lämnar kan utmynna i säkerhetsskyddsåtgärder som senare blir föremål för tillsyn, vilket kan underminera själva syftet med tillsynen som en fristående granskning. En sådan ordning väcker också betänkligheter vad gäller objektivitet eftersom det kan ifrågasättas om tillsynsmyndighetens benägenhet att uppdaga brister härmed kan komma att minska. Det finns vidare en risk för att de dubbla rollerna motverkar en av lagstiftningens viktigaste hörnstenar, nämligen att det är verksamheten som i en egen säkerhetsskyddsanalys ska utreda verksamhetens behov av säkerhetsskydd. Enligt vår mening är det viktigt att verksamhetens tydliga ansvar för sina analyser och åtgärder inte förskjuts i riktning mot tillsynsmyndigheterna, vilket det finns en risk för om tillsynsmyndigheterna ska utöva tillsyn och lämna råd till samma verksamhetsutövare.
Ett tydliggörande av tillsynsverksamhetens inriktning och syfte skapar förutsägbarhet och minskar utrymmet för godtycklighet. I 5 kap. 4 § nya säkerhetsskyddslagen framgår endast att den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet. Vad tillsynen närmare innebär eller syftar till framgår inte. Vår bedömning är att regleringen inte ger tillräcklig ledning i fråga om tillsynsverksamhetens inriktning och syfte. Vidare är ramarna för tillsynens omfattning av betydelse för att kunna fastställa hur långt tillsynsmyndigheternas befogenheter sträcker sig.
Hur tillsynsverksamheten ska bedrivas har inte heller närmare regle-
rats. Behov av klargörande finns, utöver själva tillsynsarbetet, även vad gäller tillsynens omfattning och räckvidd. I andra författningar om tillsyn förekommer det som exempel krav på att tillsynsmyndigheterna upprättar register över tillsynsobjekt med tillhörande tillsynsplaner, liksom krav på behovsutredningar över tillsynsmyndigheternas ansvarsområden (se 1 kap. miljötillsynsförordningen [2011:13]). Enligt utredningen är den nuvarande och kommande regleringen otillräcklig även i detta avseende.
8.4.3 Den samlade bilden över tillsynen saknas
I den nuvarande tillsynsstrukturen finns det ingen myndighet med överblick över hur tillsynsverksamheten, och i förlängningen säkerhetsskyddsarbetet, bedrivs. Säkerhetspolisen och Försvarsmakten har i och för sig en särställning i tillsynssystemet eftersom de kan utföra
350
Tillsyn
kontroll av säkerhetsskyddet även hos bolag, föreningar, stiftelser och enskilda som i första hand kontrolleras av de sektorsansvariga myndigheterna. Säkerhetspolisen och Försvarsmakten har dock inte någon författningsreglerad skyldighet att upprätthålla en sammantagen bild över tillsynen som bedrivs. Något generellt ansvar för övriga tillsynsmyndigheter att rapportera till Säkerhetspolisen eller Försvarsmakten finns inte. Genom vår kartläggning har det framkommit att det inte heller på ett informellt plan har etablerats något system som medför att Säkerhetspolisen eller Försvarsmakten har en samlad bild över tillsynen. När det gäller möjligheten att överblicka tillsynsverksamheten bör det också vägas in att den nuvarande decentraliserade tillsynsstrukturen inrymmer ett stort antal myndigheter; de sektorsansvariga myndigheterna är 24 till antalet när samtliga länsstyrelser räknas in.
Utan en samlad bild är det inte möjligt att systematiskt följa upp, utvärdera och utveckla tillsynen. Det finns en risk för att viktig information om brister i säkerhetsskyddet eller om verksamheter som eventuellt står utan skydd inte tas om hand. Förutsättningarna för att prioritera de tillsynsinsatser som ger störst nytta minskar dessutom. Utan en överblick är det överhuvudtaget svårt att avgöra om den tillsynsverksamhet som bedrivs är ändamålsenlig och kostnadseffektiv, vilket får anses vara berättigade krav på all verksamhet i offentlig regi.
Riksrevisionen har i rapporten Informationssäkerheten i den civila
statsförvaltningen (RIR 2014:23, s. 19, 75 och 76) anfört att effektivt
informationssäkerhetsarbete i statsförvaltningen kräver systematisk och regelbunden uppföljning som ger underlag för förbättringar. I rapporten understryks också behovet av att regeringen och dessa myndigheter vidtar åtgärder så att det går att få en samlad bild av läget och utifrån detta anpassa säkerheten till de behov som finns. Det sagda har relevans också på säkerhetsskyddsområdet.
8.4.4 Informationsutbytet är inte reglerat
Det finns inte något författningsreglerat ansvar för Säkerhetspolisen och Försvarsmakten att delge övriga tillsynsmyndigheter sådan information som behövs för att kunna kontrollera att verksamhetsutövarna har ett väl dimensionerat säkerhetsskydd. Såvitt vi har erfarit så
351
Tillsyn SOU 2018:82
sker det i dagsläget inget systematiskt utbyte av hotinformation. Samtidigt måste man naturligtvis beakta att delar av den underrättelseinformation som Säkerhetspolisen och Försvarsmakten har är av det slaget att den inte kan eller bör spridas till andra myndigheter. Ett exempel på det kan vara att man har fått informationen genom ett internationellt underrättelsesamarbete och på villkor att man inte delar med sig av informationen till andra myndigheter.
Tillsynsmyndigheternas behov av hotinformation har belysts i en promemoria som har ställts till utredningen.
2
I promemorian anges
bl.a. följande. Säkerhetsskyddet har bl.a. till syfte att försvåra för en angripare att genomföra exempelvis spionage eller sabotage som kan medföra allvarliga skadekonsekvenser för verksamheten som ska skyddas. Spionage och sabotage genomförs med hjälp av ett antal resurser och förmågor i form av t.ex. personal, teknik och metoder. För att säkerhetsskyddet ska bli väl anpassat, är det därför avgörande att ha rätt kunskap om dessa resurser och förmågor för att kunna planera, etablera, vidmakthålla och utveckla säkerhetsskyddet vid en verksamhet. Det som behövs för ett långsiktigt säkerhetsskyddsarbete är ett slags ”medelvärdesbeskrivning” över förmågor som en mängd hotaktörer bedöms eller antas besitta.
Mot ovanstående bakgrund ser vi att det finns behov av att klargöra att Säkerhetspolisen och Försvarsmakten har ett ansvar för att förmedla relevant hotinformation till tillsynsmyndigheterna.
8.4.5 Nödvändiga befogenheter saknas
Några särskilda befogenheter för utövande av tillsyn finns inte i den nuvarande säkerhetsskyddslagstiftningen. Tillsynen utgår ifrån att tillsynsobjekten samarbetar med tillsynsmyndigheterna och självmant vidtar de åtgärder som rekommenderas. Så sker dock inte alltid. Det förekommer att brister som påpekats inte rättas till, vilket utvecklas i SOU 2015:25 (s. 476–478).
Att tillsynsmyndigheterna i dag saknar såväl tillträdesrätt till lokaler som ingripandemöjligheter för att framtvinga regelefterlevnad innebär att tillsynsmyndigheterna inte har de verktyg som behövs för en effektiv tillsyn (jfr skr. 2009/10:79).
2 Strålsäkerhetsmyndighetens promemoria den 26 februari 2018 med diarienummer SSM 2018-1070.
352
Tillsyn
8.4.6 Tillsynen som bedrivs är begränsad
Den kartläggning som vi har genomfört visar att tillsyn bedrivs i relativt begränsad omfattning och att vissa tillsynsmyndigheter inte har bedrivit någon tillsyn. Det är naturligtvis viktigt att alla tillsynsmyndigheter bedriver ett strukturerat och planerat tillsynsarbete så att brister i säkerhetsskyddet kan uppmärksammas och rättas till. Vår slutsats är att det krävs en ambitionshöjning, som på vissa håll behöver vara betydande. I avsnitt 8.7 återkommer vi till resultaten av vår kartläggning när vi diskuterar hur tillsynsansvaret bör fördelas.
8.4.7 Tillsynskompetensen behöver öka
Utredningens kartläggning av den nuvarande tillsynsverksamheten ger en delad bild av sak- och tillsynskompetensen.
Det är vår bedömning att det inom såväl Säkerhetspolisen som Försvarsmakten finns hög kompetens om säkerhetsskyddslagstiftningen och tillsyn. Detta är positivt. Samtidigt uppger samtliga sektorsansvariga myndigheter att de helt eller delvis saknar sak- och tillsynskompetens för säkerhetsskyddet. Bristen på kompetens innebär inte bara att dessa myndigheter i dagsläget saknar förutsättningar för att bedriva ändamålsenlig tillsyn, det innebär också att startsträckan är betydligt längre än vad som annars skulle vara fallet den dag ambitionerna för tillsynen höjs. Detta eftersom rekrytering och utbildning kommer att ta tid i anspråk.
8.4.8 Antalet tillsynsobjekt kan inte anges
Flertalet tillsynsmyndigheter har under utredningens kartläggning haft svårt att ange hur många tillsynsobjekt de har ansvar för. Vi ser i detta avseende en tydlig koppling till vad som utvecklats i avsnitt 8.4.6 om att tillsynen som bedrivs är begränsad.
Vi menar att det måste anses vara en förutsättning för att kunna bedriva ändamålsenlig tillsyn att myndigheten har en uppfattning om vilka verksamheter som man har i uppdrag att kontrollera.
353
Tillsyn SOU 2018:82
8.5 Vi lämnar inte förslag om en central tillsynsmyndighet
Bedömning: Det finns vissa skäl för att överväga en ordning som
bygger på att det finns en central tillsynsmyndighet med ett övergripande ansvar för tillsynen samt därutöver tillsynsmyndigheter på sektorsnivå. Vi anser det dock inte lämpligt att lämna sådana förslag.
I det föregående har vi analyserat vilket utvecklingsbehov som finns när det gäller tillsyn enligt säkerhetsskyddslagen. Vi övergår nu till att överväga hur tillsynen bör vara ordnad. En första fråga är då om det bör införas en central tillsynsmyndighet. I Statskontorets rapport
Tänk till om tillsynen framhålls betydelsen av att statsmakten ser till-
synen som ett sammanhållet system, där de olika delarna – reglering, organisering, styrning, finansiering och ingripandemöjligheter – samspelar för att bästa möjliga resultat av verksamheten ska kunna åstadkommas (s. 93). Vi delar den uppfattningen. Flera av de brister som vi har identifierat i vår analys av utvecklingsbehovet (avsnitt 8.4) kan delvis kopplas till regleringen av och förhållandet mellan myndigheterna i tillsynsstrukturen. Det kan vidare diskuteras om det nuvarande tillsynssystemet är utformat helt i linje med regeringens skrivelse En
tydlig, rättssäker och effektiv tillsyn (skr. 2009/10:79). Det anges där
att för varje tillsynsområde där tillsynen utförs av mer än ett organ bör regeringen bemyndigas att utse en statlig myndighet att ansvara för samordningen av tillsynen (s. 27–30).
Ett sätt att åstadkomma en mer sammanhållen tillsyn är att sammanföra all tillsyn i en myndighet. Så har man gjort i Norge. Där har
Nasjonal sikkerhetsmyndighet ansvar för tillsyn över samtliga sektorer
inom säkerhetsskyddet, med undantag för objektsäkerhet. Att sammanföra all tillsyn i en central tillsynsmyndighet skulle kunna förbättra förutsättningarna för att överblicka verksamheten och verka sammanhållet. Vår bedömning är dock att en sådan konstruktion inte är kostnadsmässigt försvarbar med hänsyn till den stora variation av verksamheter och antalet tillsynsobjekt som finns inom säkerhetsskyddslagens tillämpningsområde. Kostnaden för att skaffa och upprätthålla kompetens inom säkerhetsskyddets alla sektorer inom en
354
Tillsyn
myndighet blir sannolikt så höga att de inte skulle stå i rimlig proportion till vinsterna som kan förväntas.
En alternativ lösning skulle kunna vara att man har en central tillsynsmyndighet som kompletteras av tillsynsmyndigheter på sektorsnivå. Den centrala myndigheten skulle då ge förutsättningarna för tillsynen på sektorsnivå i form av metodstöd, normgivning om tillsyn och förmedling av hotinformation, medan tillsynen skulle bedrivas av myndigheter som redan har sakkunskap och är etablerade i sektorn. Genom en tydlig ansvarsfördelning och samverkan mellan den centrala tillsynsmyndigheten och sektorsmyndigheterna skulle det kunna vara möjligt att upprätthålla en sammantagen bild av hur tillsynsverksamheten, och i förlängningen säkerhetsskyddsarbetet, bedrivs.
Vad som främst talar för en modell med central tillsynsmyndighet och tillsyn på sektorsnivå är möjligheten att upprätthålla en hög sakkunskap i varje sektor som granskas. I betänkandet Statlig tillsyn
– Granskning på medborgarnas uppdrag (SOU 2002:14) understryks
att i sektorer där tillsynsobjekten är resursstarka och har hög egen kompetens är tillsynsmyndighetens kompetens särskilt viktig (s. 86). Detta gör sig rimligen gällande både för kvaliteten i tillsynen och för förtroendet hos den som är föremål för tillsyn. I betänkandet Styra
och ställa – förslag till en effektivare statsförvaltning (SOU 2008:118)
anges att det bara är sådan tillsyn som kräver högt specialiserad kompetens som bör utföras av separata tillsynsmyndigheter (s. 12). Vi instämmer i detta uttalande och gör bedömningen att flera av de verksamheter som bedrivs på säkerhetsskyddslagens område har en sådan komplexitet att specialiserad kompetens är nödvändig hos tillsynsmyndigheten. Som exempel kan nämnas finanssektorn och kärnteknisk verksamhet. Det finns därför goda skäl för att låta tillsynen utföras på sektorsnivå. Därigenom kan risken minskas för att tillsynsobjekten blir föremål för oförenliga krav genom tillsyn av olika myndigheter. Möjligheten att utnyttja sakkompetens och tillsynskompetens som redan finns i sektorerna talar också för denna typ av struktur.
Det anförda talar sammantaget att för att det skulle finnas vissa fördelar med ett system som bygger på en central tillsynsmyndighet och ett antal tillsynsmyndigheter på sektorsnivå. Införande av ett sådant system skulle dock fordra en djupgående analys även av olika nackdelar. Potentiella nackdelar är att det skulle kräva en stor kunskapsöverföring till den centrala myndigheten, vare sig denna centrala myndighet skulle vara Försvarsmakten, Säkerhetspolisen eller
355
Tillsyn SOU 2018:82
en nybildad myndighet. Vi har kunnat konstatera att arbetet med säkerhetsskydd hos Försvarsmakten och Säkerhetspolisen är nära kopplat till annan verksamhet som myndigheterna bedriver, bl.a. sådan verksamhet som genererar information om hotbilder m.m. En övergång till en ny central tillsynsmyndighet skulle därför kräva noggranna överväganden om hur Säkerhetspolisens och Försvarsmaktens övriga verksamhetsinriktningar ska vara organiserade. Även en konsolidering av tillsynsansvaret till en myndighet skulle behöva föregås av en djupare analys. Det kan finnas vissa risker med att kunskapen om såväl inre som yttre hot samlas hos en myndighet. Om exempelvis Försvarsmakten skulle ges rollen som central tillsynsmyndighet är det inte givet vilken funktion Säkerhetspolisen skulle ha, och vice versa. Till detta kommer att det kan finnas vissa risker med att kunskapen om såväl inre som yttre hot samlas hos en myndighet. Vi kan även konstatera att regeringen i angränsande lagstiftning, t.ex. lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, stannat för ett system med flera tillsynsmyndigheter. Erfarenheter från Norge talar också för att en central tillsynsmyndighet får svårt att genomföra sitt uppdrag utan biträde av myndigheter med mer sektorsspecifik kunskap. Slutligen ingår det inte i vårt uppdrag att lämna förslag om en sådan ordning som nu diskuteras. Det framgår nämligen av direktiven att en eventuellt ny tillsynsstruktur ska bygga på att det huvudsakliga ansvaret för tillsynen vilar på Säkerhetspolisen och Försvarsmakten inom respektive myndighets ansvarsområde. Utöver det som sagts i detta avsnitt redovisar vi därför inte några överväganden om detta alternativ.
8.6 Säkerhetspolisen och Försvarsmakten bör vara samordningsmyndigheter
Förslag: Säkerhetspolisen och Försvarsmakten ska vara samord-
ningsmyndigheter. I egenskap av samordningsmyndigheter ska dessa två myndigheter få i uppdrag att
1. följa upp, utvärdera och utveckla tillsynsarbetet,
2. i samråd utveckla och tillhandahålla metodstöd för tillsyn,
3. verka för erfarenhetsutbyte och
356
Tillsyn
4. förmedla relevant hotinformation till tillsynsmyndigheterna.
Bedömning: Samordningsmyndigheternas förmedling av hotin-
formation kan ske med stöd av den sekretessbrytande bestämmelsen i 10 kap. 28 § första stycket offentlighets- och sekretesslagen (2009:400).
Säkerhetspolisen och Försvarsmakten bör vara samordningsmyndigheter
Säkerhetspolisen och Försvarsmakten är i dag huvudansvariga tillsynsmyndigheter för säkerhetsskyddet och har omfattande kompetens och erfarenhet på området. Att de även i fortsättningen bör ha ett huvudansvar för tillsynen framgår av våra direktiv. Dessa myndigheter bedriver själva underrättelseinhämtning och har särskild kunskap om de civila och militära hotbilderna mot Sverige samt hur de påverkar säkerhetsskyddet. Mot den bakgrunden bedömer vi att fördelarna med en central tillsynsmyndighet som lyfts fram i förra avsnittet i stor utsträckning kan uppnås genom att låta Säkerhetspolisen och Försvarsmakten få motsvarande roller. Vi kallar denna roll för samord-
ningsmyndighet och utvecklar i det följande vilka uppdrag som bör
ingå i rollen.
Ansvarsfördelningen för tillsynsmyndigheterna behandlas i avsnitt 8.7. Vi anser att ansvarsfördelningen mellan samordningsmyndigheterna bör följa samma indelning. Detta innebär att Försvarsmakten bör vara samordningsmyndighet för Försvarets materielverk och att Säkerhetspolisen bör vara samordningsmyndighet för övriga tillsynsmyndigheter.
Samordningsmyndigheterna bör ansvara för uppföljning, utvärdering och utveckling av tillsynen
I vår analys av utvecklingsbehovet har vi konstaterat att ingen myndighet har den samlade bilden över tillsynen och att detta försvårar systematisk uppföljning, utvärdering och utveckling av tillsynsverksamheten. I linje med vad som förts fram under föregående rubrik anser vi att uppföljning, utvärdering och utveckling av den tillsynen är ansvar som bör ligga hos samordningsmyndigheterna.
357
Tillsyn SOU 2018:82
Med uppföljning menas i detta sammanhang att följa hur verksamheten bedrivs över tid. Underlaget för att följa upp tillsynen bör i första hand komma från en dialog med tillsynsmyndigheterna som inrymmer iakttagelser från den löpande tillsynsverksamheten.
Med utvärdering avses i detta sammanhang att granska och bedöma tillsynsverksamheten. Skillnaden mellan tillsyn och utvärdering ligger i att kriterierna vid utvärdering kan väljas utifrån vad den som utvärderar bedömer är relevant (se SOU 2015:57 s. 62). Hur tillsynen ska utvärderas och vilka kriterier som ska användas bör vara en fråga för samordningsmyndigheterna.
Samordningsmyndigheterna bör ha i uppdrag att ta fram metodstöd
Vi lämnar i avsnitt 8.7 förslag till en ny tillsynsstruktur. Förslagen innebär att vissa myndigheter som inte tidigare har haft något sådant uppdrag får uppdrag att bedriva tillsyn på säkerhetsskyddsområdet. Vidare har vi i vår analys av utvecklingsbehovet kommit fram till att det behövs en bred ambitions- och kunskapshöjning när det gäller tillsyn på området. Dessutom föreslår vi längre fram i det här kapitlet att tillsynsmyndigheterna ges en rad nya verktyg för att bedriva tillsynen (se bl.a. avsnitt 8.10 och 8.11). Med hänsyn till dessa förhållanden, till våra förslag om samråd m.m. i kapitel 6 och 7 och till behovet av en effektiv tillsyn överlag, anser vi att tillsynsmyndigheterna kan behöva tillgång till skriftligt metodstöd. Det är naturligt att uppdraget att ta fram och uppdatera sådant metodstöd läggs på samordningsmyndigheterna.
Metodstödet bör i första hand vara ett praktiskt hjälpmedel som underlättar tillsynsarbetet. Syftet är att metodstödet ska bidra till att tillsynen bedrivs metodiskt, effektivt och så enhetligt som möjligt. Hur metodstödet ska utvecklas och tillhandahållas bör vara en fråga för samordningsmyndigheterna. Här kan emellertid informationssäkerhetsområdet nämnas som ett exempel på hur metodstöd kan utvecklas i samverkan mellan myndigheter. Metodstödet avseende ledningssystem för informationssäkerhet har tagits fram av Samverkansgruppen för informationssäkerhet, där Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Post- och telestyrelsen, Polismyndigheten, Säkerhetspolisen och Myndigheten för samhällsskydd och beredskap ingår.
358
Tillsyn
Samordningsmyndigheterna bör verka för erfarenhetsutbyte
Inom ramen för ansvaret att utveckla tillsynsarbetet bör samordningsmyndigheterna också ha i uppdrag verka för att det bedrivs erfarenhetsutbyten mellan tillsynsmyndigheterna, vilket är något som har efterfrågats under utredningens arbete. Möjligheten att höja tillsynskompetensen genom just erfarenhetsutbyten är något som påtalas i Statskontorets rapport Tänk till om tillsynen (s. 91).
Samordningsmyndigheterna bör förmedla relevant hotinformation till tillsynsmyndigheterna
I linje med slutsatserna om utvecklingsbehovet i avsnitt 8.4.4 anser vi att rollen som samordningsmyndighet bör innefatta ett ansvar att förmedla den hotinformation som är relevant för respektive tillsynsmyndighet. Informationen bör vara dimensionerad utifrån vad myndigheten behöver för sin tillsynsverksamhet. I detta ingår inte bara den egentliga tillsynen utan också de övriga uppgifter som enligt våra förslag ligger på tillsynsmyndigheterna, däribland att i vissa situationer samråda med verksamhetsutövare och meddela förelägganden och förbud mot vissa förfaranden (se våra förslag i kapitel 6 och 7). Utan en relevant hotbeskrivning är det inte möjligt för tillsynsmyndigheterna att fullt ut granska att verksamheter som omfattas av lagstiftningen uppfyller dess krav och har ett väl anpassat säkerhetsskydd. I rollen som tillsynsmyndighet ingår nämligen att i samråd med Säkerhetspolisen och Försvarsmakten ta fram underlag i fråga om vilka hot som säkerhetsskyddet inom det berörda området behöver vara dimensionerat för (prop. 2017/18:89 s. 131).
Något formaliserat ansvar för att förmedla hotinformation finns i dag inte och det är enligt utredningen så centralt att det bör följa av författning att en sådan skyldighet finns. Som vi har utvecklat i avsnitt 8.4.4 handlar det inte i första hand om förmedling av ren underrättelseinformation, eftersom sådan information mer sällan kan användas för utveckling av ett långsiktigt säkerhetsskydd. I stället handlar det snarare om förmedling av ett slags ”medelvärdesbeskrivning” över förmågor som en mängd hotaktörer bedöms eller antas besitta.
359
Tillsyn SOU 2018:82
Samordningsmyndigheternas uppdrag som vi har utvecklat i det föregående bör komma till uttryck i författning, lämpligen genom att en ny paragraf införs i nya säkerhetsskyddsförordningen.
I 10 kap. offentlighets- och sekretesslagen (2009:400, OSL) finns bl.a. sekretessbrytande bestämmelser. Enligt 28 § i kapitlet hindrar inte sekretess att en uppgift lämnas till en annan myndighet om uppgiftsskyldighet följer av lag eller förordning. Enligt vår bedömning medger denna bestämmelse utlämnande av sådan hotinformation som nu är i fråga.
Samordningsmyndigheterna har också rollen som tillsynsmyndigheter
Ovan har vi föreslagit att Säkerhetspolisen och Försvarsmakten bör vara samordningsmyndigheter för tillsynen och därigenom bl.a. få ansvar för uppföljning, utvärdering och utveckling av tillsynen. Som vi utvecklar i avsnitt 8.7 bedömer vi att Säkerhetspolisen och Försvarsmakten också bör fortsätta vara tillsynsmyndigheter men att deras tillsynsansvar ska vara begränsat till de allra mest skyddsvärda verksamheterna. Detta innebär att Säkerhetspolisen och Försvarsmakten kommer att uppträda i olika roller inom tillsynssystemet.
8.7 En ny tillsynsstruktur
Förslag: Försvarsmakten ska vara tillsynsmyndighet för Fortifika-
tionsverket, Försvarshögskolan och de myndigheter som hör till Försvarsdepartementet.
Säkerhetspolisen ska vara tillsynsmyndighet för domstolarna som inte hör till Försvarsdepartementet, Domstolsverket, Åklagarmyndigheten, Polismyndigheten, Ekobrottsmyndigheten, Kriminalvården, Kustbevakningen, Tullverket, Skatteverket, Försäkringskassan, Pensionsmyndigheten, Statens servicecenter, Riksgäldskontoret, Finansinspektionen, Statens fastighetsverk, Inspektionen för strategiska produkter, Myndigheten för samhällsskydd och beredskap, Lantmäteriet, Post- och telestyrelsen, Transportstyrelsen, Affärsverket svenska kraftnät, Strålsäkerhetsmyndigheten,
360
Tillsyn
Statens energimyndighet, Länsstyrelsen i Stockholms län, Länsstyrelsen i Skåne län, Länsstyrelsen i Västra Götalands län och Länsstyrelsen i Norrbottens län.
Försvarets materielverk ska vara tillsynsmyndighet för enskilda verksamhetsutövare inom området försvarsmateriel.
Affärsverket svenska kraftnät ska vara tillsynsmyndighet för enskilda verksamhetsutövare inom området elförsörjning samt för enskilda verksamhetsutövare inom området dammanläggningar.
Transportstyrelsen ska vara tillsynsmyndighet för Sjöfartsverket, Trafikverket, Luftfartsverket och enskilda verksamhetsutövare inom områdena civil luftfart, vägtrafik, sjöfart och järnväg.
Post- och telestyrelsen ska vara tillsynsmyndighet för enskilda verksamhetsutövare inom områdena elektronisk kommunikation och posttjänster.
Finansinspektionen ska vara tillsynsmyndighet för enskilda verksamhetsutövare inom området finansiella företag samt för motsvarande utländska företag som är etablerade i Sverige.
Statens energimyndighet ska vara tillsynsmyndighet för enskilda verksamhetsutövare inom områdena fjärrvärme-, naturgas-, oljeoch drivmedelsförsörjning.
Strålsäkerhetsmyndigheten ska vara tillsynsmyndighet för enskilda verksamhetsutövare inom området kärnteknisk verksamhet.
Länsstyrelsen i Stockholms län ska, om inte någon annan myndighet har ansvar för tillsynen, vara tillsynsmyndighet för myndigheter, kommuner och landsting som hör till Stockholms, Uppsala, Södermanlands, Västmanlands, Värmlands, Gotlands, Örebro, Dalarnas eller Gävleborgs län och enskilda verksamhetsutövare som har sitt säte i något av dessa län, utom Säkerhetspolisen.
Länsstyrelsen i Skåne län ska, om inte någon annan myndighet har ansvar för tillsynen, vara tillsynsmyndighet för myndigheter, kommuner och landsting som hör till Kronobergs, Blekinge, Kalmar eller Skåne län och för enskilda verksamhetsutövare som har sitt säte i något av dessa län.
Länsstyrelsen i Västra Götalands län ska, om inte någon annan myndighet har ansvar för tillsynen, vara tillsynsmyndighet för myndigheter, kommuner och landsting som hör till Hallands, Jönköpings, Västra Götalands eller Östergötlands län och enskilda verksamhetsutövare som har sitt säte i något av dessa län.
361
Tillsyn SOU 2018:82
Länsstyrelsen i Norrbottens län ska, om inte någon annan myndighet har ansvar för tillsynen, vara tillsynsmyndighet för myndigheter, kommuner och landsting som hör till Västernorrlands, Jämtlands, Västerbottens eller Norrbottens län och enskilda verksamhetsutövare som har sitt säte i något av dessa län.
Ingen myndighet utövar tillsyn över Justitiekanslern.
8.7.1 Inledning
Vi har i avsnitt 8.4 analyserat det nuvarande systemet för tillsyn och kommit till slutsatsen att det finns ett tydligt utvecklingsbehov. I detta avsnitt redovisar vi våra överväganden och förslag till vilka myndigheter som, utöver Säkerhetspolisen och Försvarsmakten, i framtiden bör ha ansvar för tillsynen. Förslaget utgår ifrån att sanktioner införs i säkerhetsskyddslagen i enlighet med våra förslag i kapitel 9.
8.7.2 Utgångspunkter för våra överväganden om tillsynsstrukturen
När det gäller frågan om vilka myndigheter som ska bedriva tillsyn enligt den nya säkerhetsskyddslagen och hur tillsynsansvaret ska fördelas mellan myndigheterna tar våra överväganden fasta på följande utgångspunkter.
a) Försvarsmakten och Säkerhetspolisen har en särställning inom
säkerhetsskyddet genom den kompetens och erfarenhet som har upparbetats inom myndigheterna. Försvarsmaktens och Säkerhetspolisens resurser bör därför i första hand användas för tillsyn över de allra mest skyddsvärda verksamheterna och för det samordnande ansvar som de föreslås få (se avsnitt 8.6). Tillsynsansvaret bör som utgångspunkt begränsas till myndigheter.
b) Inom varje område där det typiskt sett bedrivs säkerhetskänslig
verksamhet bör det finnas en utpekad tillsynsmyndighet. Befintlig sak- och tillsynskompetens bör utnyttjas vid valet av tillsynsmyndighet. För att avgöra inom vilka områden som det typiskt sett bedrivs säkerhetskänslig verksamhet har vi utgått från uttalandena i propositionen Ett modernt och stärkt skydd för Sveriges
362
Tillsyn
säkerhet – ny säkerhetsskyddslag (prop. 2017/18:89) om vilka verk-
samheter som den nya säkerhetsskyddslagen omfattar.
c) En och samma verksamhetsutövare bör inte bli föremål för tillsyn
enligt säkerhetsskyddsregleringen av fler än en tillsynsmyndighet eftersom det kan bli kostnadsdrivande samt medföra risk för oförenliga krav och sanktioner.
8.7.3 Fördelningen av tillsynsansvaret
Som nämnts ovan ska den tillsynsstruktur som vi föreslår även i fortsättningen bygga på att det huvudsakliga ansvaret för tillsynen vilar på Säkerhetspolisen och Försvarsmakten inom respektive myndighets ansvarsområde. Vi börjar därför med våra överväganden om vilken roll dessa två myndigheter bör ha i framtiden. Därefter överväger vi hur tillsynsansvaret i övrigt bör fördelas.
Försvarsmaktens ansvarsområde
Vi börjar med frågan om hur Försvarsmaktens tillsynsansvar bör avgränsas i framtiden. Enligt den nya säkerhetsskyddsförordningen har Försvarsmakten ansvar för tillsyn över Fortifikationsverket, Försvarshögskolan och de myndigheter som hör till Försvarsdepartementet (se 7 kap. 1 § första stycket 1 nya säkerhetsskyddsförordningen). Bland dessa myndigheter finns Försvarets materielverk, Totalförsvarets forskningsinstitut (FOI), Försvarsunderrättelsedomstolen och Försvarets radioanstalt.
Det militära försvaret är en central del av lagstiftningens skyddsområde. Försvarsmaktens tillsynsområde inrymmer därmed myndigheter med höga skyddsvärden. Vår kartläggning visar att Försvarsmakten bedriver ett systematiskt tillsynsarbete och att myndigheten regelbundet genomför tillsyn hos verksamheterna som står under myndighetens ansvar. Försvarsmakten har hög kompetens inom både tillsyn och säkerhetsskydd. Vi bedömer därför att Försvarsmakten bör behålla tillsynen över de myndigheter som man i dag har tillsynsansvaret för.
363
Tillsyn SOU 2018:82
Nästa fråga är om Försvarsmaktens ansvarsområde bör utökas. Ett möjligt utökat uppdrag för Försvarsmakten skulle kunna vara att överta tillsynsansvaret för kommuner och landsting eftersom vissa av Försvarsmaktens skyddsvärden finns på lokal och regional nivå. Ett exempel är totalförsvarets signalskyddstjänst som leds och samordnas av Försvarsmakten. Signalskydd kan beskrivas som åtgärder för att förhindra obehörig insyn i och påverkan av tele- och radiokommunikationer (SOU 2003:27 s. 13). Signalskyddstjänsten är en verksamhet som vid ett bortfall eller en störning kan medföra allvarliga konsekvenser. Vi kan dock konstatera att Försvarsmakten, vid sidan av säkerhetsskyddslagstiftningen, redan aktivt stödjer signalskyddstjänsten genom uppföljning (se 3 b § 3 förordningen [2007:1266] med instruktion för Försvarsmakten och SOU 2003:27 s. 13). Vidare bedömer vi att den säkerhetskänsliga verksamhet som typiskt sett bedrivs på lokal och regional nivå framför allt rör det civila försvaret snarare än det militära. Att utöka Försvarsmaktens ansvar till kommuner och landsting är inte heller i linje med vår utgångspunkt att Försvarsmaktens och Säkerhetspolisens resurser i första hand ska användas för de allra mest skyddsvärda myndigheterna. Vi föreslår därför inte någon sådan utökning.
Säkerhetspolisens ansvarsområde
Vi fortsätter med frågan om vilket tillsynsansvar som bör vila på Säkerhetspolisen. Enligt den nya säkerhetsskyddsförordningen har Säkerhetspolisen tillsynsansvar för kommuner och landsting samt alla myndigheter som inte hör till Försvarsmaktens ansvarsområde eller sorterar under riksdagen (se 7 kap. 1 § första stycket 2, 1 kap. 1 § andra stycket och 3 §). Vår kartläggning visar att Säkerhetspolisen, i förhållande till det mycket stora antalet tillsynsobjekt, har utfört ett relativt begränsat antal tillsyner varje år. Tillsynen har i första hand inriktats mot verksamheter med höga skyddsvärden där skador har bedömts kunna medföra omfattande konsekvenser. För andra verksamheter som Säkerhetspolisen har tillsynsansvar över har myndigheten bedömt att rådgivning och andra insatser har gett snabbare och bättre effekt för att stärka säkerhetsskyddet.
364
Tillsyn
I avsnitt 8.16 utvecklar vi varför vi anser att alla verksamheter som omfattas av den nya säkerhetsskyddslagen bör bli föremål för tillsyn med viss regelbundenhet. Vi ser inte att det är möjligt för Säkerhetspolisen att regelbundet utföra tillsyn över samtliga nuvarande tillsynsobjekt utan en omfattande resursförstärkning. En sådan resursförstärkning bedömer vi inte som ändamålsenlig eftersom det skulle innebära att Säkerhetspolisens kompetens och erfarenhet används för tillsyn över ett stort antal verksamheter inom vitt skilda verksamhetsområden med varierande skyddsvärden. Vår utgångspunkt är i stället att Säkerhetspolisens resurser ska användas för tillsyn över de allra mest skyddsvärda verksamheterna och för det samordnande ansvar som myndigheten föreslås få tillsammans med Försvarsmakten.
Eftersom de mest skyddsvärda verksamheterna normalt inte finns hos kommuner och landsting föreslår vi att Säkerhetspolisen frigörs från det tillsynsansvaret.
Som nämnts ovan har Säkerhetspolisen i dag ansvar för tillsyn över alla myndigheter som inte hör till Försvarsmaktens ansvarsområde eller sorterar under riksdagen. Vid ingången av 2017 fanns det sammanlagt 325 myndigheter under regeringen om man räknar bort försvarsmyndigheterna.
3
Bland dessa finns myndigheter med verksamheter
som typiskt sett saknar eller har mycket begränsade skyddsvärden. Vi kan exempelvis konstatera att över 110 av myndigheterna finns inom verksamhetsområdena utbildning och näringslivsfrågor. Säkerhetspolisens nuvarande tillsynsansvar över dessa myndigheter är enligt vår bedömning inte ändamålsenligt utifrån våra utgångspunkter om hur myndighetens resurser bör användas. Vår slutsats är därför Säkerhetspolisens ansvar för tillsyn över myndigheter behöver begränsas kraftigt.
Vår nästa fråga är därför vilka myndigheter som typiskt sett har så höga skyddsvärden att det är motiverat att låta dem vara kvar inom Säkerhetspolisens tillsynsansvar.
Först och främst anser vi att det handlar om myndigheter som ansvarar för att upprätthålla kritiska funktioner inom rättsväsende, lag och ordning (prop. 2017/18:89 s. 44 och 134). Det handlar enligt vår bedömning om en fungerande rättskipning, brottsbekämpande förmågor, kontroll och övervakning av gränser och territorier, utlän-
3 Statskontorets rapport Den offentliga sektorn i korthet 2017, diarienummer 2017/20-5 s. 34 och 37.
365
Tillsyn SOU 2018:82
ningskontroll och liknande verksamhet. I den kategorin finns Domstolsverket, domstolarna, Åklagarmyndigheten, Polismyndigheten, Ekobrottsmyndigheten, Kriminalvården, Kustbevakningen och Tullverket. Som nämnts ovan har Försvarsmakten ansvar för tillsyn över Försvarsunderrättelsedomstolen enligt den nya säkerhetskyddsförordningen. Vi menar att det är lämpligt att Försvarsmakten även i fortsättningen har kvar detta ansvar. Säkerhetspolisens ansvar för tillsyn över domstolarna bör därför inte avse domstolar under Försvarsdepartementet.
Det finns också stora skyddsvärden hos ett begränsat antal myndigheter som ansvarar för system som i princip berör hela Sveriges befolkning. Framför allt handlar det om folkbokföring, socialförsäkring och beskattning. Utöver att myndigheterna i sig har höga skyddsvärden är andra vitala samhällsfunktioner beroende av att uppgifterna i deras system är tillgängliga och riktiga (jfr prop. 2017/18:89 s. 65 och 66 och SOU 2015:25 s. 301). I denna kategori finns enligt vår bedömning Skatteverket, Försäkringskassan och Pensionsmyndigheten. Vi anser vidare att det är motiverat att låta Säkerhetspolisen ha tillsynsansvar över Statens servicecenter eftersom den myndigheten levererar löne- och ekonomiadministrativa tjänster till över 150 svenska myndigheter. De uppgifter som ackumulerats liksom de beroenden som skapats till Statens servicecenters tjänster talar för att det finns betydande skyddsvärden i verksamheten.
Höga skyddsvärden finns också hos myndigheter som ansvarar för att det råder finansiell stabilitet i samhället. Enligt Riksbankens definition handlar finansiell stabilitet om att upprätthålla tre grundläggande funktioner – förmedling av betalningar, omvandling av sparande till finansiering och riskhantering – och att systemet har motståndskraft mot störningar som hotar dessa funktioner.
4
An-
svaret för att främja finansiell stabilitet delas mellan Finansdepartementet, Finansinspektionen, Riksbanken och Riksgäldskontoret.
5
Med hänsyn till de höga skyddsvärdena bedömer vi att Säkerhetspolisen bör ha kvar ansvaret för tillsyn över Riksgäldskontoret och Finansinspektionen. Något utrymme för att utöva tillsyn över Riksbanken finns inte eftersom Riksbanken är en myndighet under riksdagen som inte omfattas av gamla eller nya säkerhetsskyddslagen.
6
4 Riksbankens rapport Finansiell stabilitet (2016:2). 5 Regeringens hemsida https://www.regeringen.se/artiklar/2015/02/ansvar-for-finansiell-stabilitet/ i dess lydelse den 24 oktober 2018. 6 För Riksbanken gäller lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter.
366
Tillsyn
Det bedrivs vidare verksamhet med höga skyddsvärden i fastigheter som förvaltas av Statens fastighetsverk och på fastigheter där Statens fastighetsverk utför ny- och ombyggnation. Främst gäller det regeringsbyggnader och ambassader. Vår bedömning är därför att det är nödvändigt att låta Försvarsmakten eller Säkerhetspolisen utöva tillsyn över säkerhetsskyddet hos Statens fastighetsverk. Ovan föreslår vi att Försvarsmakten har kvar ansvaret för tillsyn över Fortifikationsverket, som enligt 1 och 3 §§ förordningen (2007:758) med instruktion för Fortifikationsverket bl.a. förvaltar fastigheter avsedda för försvarsändamål och bistår Försvarsmakten i lokalförsörjningsfrågor. Såvitt vi kunnat utröna bedrivs ingen militär verksamhet på de fastigheter som Statens fastighetsverk förvaltar och där myndigheten utför ny- och ombyggnation (SOU 2013:61 s. 162 och 163). Med hänsyn till det bör tillsynen över Statens fastighetsverk lämpligen vara kvar hos Säkerhetspolisen.
En myndighet som har höga skyddsvärden och som anknyter till både Säkerhetspolisens och Försvarsmaktens verksamhet är Inspektionen för strategiska produkter (ISP). ISP är bl.a. tillstånds- och tillsynsmyndighet när det gäller krigsmateriel och produkter med dubbla användningsområden samt nationell myndighet för kemvapenkonventionen.
7
Enligt vår mening handhar ISP så höga skydds-
värden att tillsynen över verksamheten bör anförtros Försvarsmakten eller Säkerhetspolisen. Eftersom Säkerhetspolisen enligt 3 § första stycket 6 förordningen (2014:1103) med instruktion för Säkerhetspolisen ansvarar för att förebygga, förhindra och upptäcka brottslig verksamhet samt utreda och beivra brott som rör krigsmateriel och produkter med dubbla användningsområden bedömer vi att Säkerhetspolisen är en lämplig tillsynsmyndighet för ISP.
MSB har enligt 1 och 3 §§ förordningen (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap ansvar för frågor om civilt försvar i den utsträckning någon annan myndighet inte har ansvaret samt ansvar för att företräda det civila försvaret på central nivå i frågor som har betydelse för avvägningen mellan civila och militära behov av samhällets resurser om inte något annat följer av särskilda föreskrifter. Ur ett säkerhetsskyddsperspektiv kan vi särskilt notera att det civila försvaret är en central del av säkerhetsskyddslagens skyddsområde tillsammans med det militära försvaret
7 Förenta nationernas konvention om förbud mot utveckling, produktion, innehav och användning av kemiska vapen samt om deras förstöring.
367
Tillsyn SOU 2018:82
(prop. 2017/18:89 s. 41). Därtill har MSB, enligt myndighetens instruktion, i uppdrag att stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. MSB svarar för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att förebygga och hantera it-incidenter. Arbetet sker genom CERT-verksamheten (Computer Emergency Response Team) som har benämningen CERT-SE. Till CERT-SE:s uppgifter hör bl.a. att agera skyndsamt vid inträffade incidenter genom att sprida information, vid behov arbeta med samordning av åtgärder, medverka i arbetet med att avhjälpa eller lindra effekter av det inträffade och att samverka med myndigheter med särskilda uppgifter inom informationssäkerhetsområdet. MSB är vidare nationell kontaktpunkt för säkerhet i nätverk och informationssystem enligt NIS-lagen. Sammantaget gör vi bedömningen att MSB:s verksamhet inrymmer så höga skyddsvärden att verksamheten bör stå under Försvarsmaktens eller Säkerhetspolisens tillsyn. Eftersom det är fråga om verksamhet av i huvudsak civil karaktär bedömer vi att Säkerhetspolisen bör få ansvaret för tillsyn.
Lantmäteriet har en viktig roll när det gäller skyddet av geografisk information som är av betydelse för totalförsvaret. Enligt vår mening är det fråga om mycket höga skyddsvärden, särskilt när det gäller uppgifter om skyddsobjekt. Ansvaret för tillsyn över Lantmäteriet bör därför ankomma på Försvarsmakten eller Säkerhetspolisen. Mot bakgrund av att Lantmäteriet är en civil myndighet bedömer vi att Säkerhetspolisen bör få ansvaret för tillsynen över myndigheten.
Vi kan vidare konstatera att de myndigheter som enligt våra förslag i det följande får ansvar för att utöva tillsyn kommer att få tillgång till säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter i stor omfattning. Dessutom har flera av dem höga skyddsvärden i sin ursprungliga verksamhet. Mot den bakgrunden bedömer vi att de föreslagna tillsynsmyndigheterna kommer att hantera så höga skyddsvärden att tillsynen över dem bör utövas av Säkerhetspolisen eller Försvarsmakten.
Eftersom Försvarets materielverk är en myndighet under Försvarsdepartementet bör myndigheten som redan förslagits stå under tillsyn av Försvarsmakten. Övriga föreslagna tillsynsmyndigheter är Affärsverket svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen, Finansinspektionen, Statens energimyndighet, Strålsäkerhetsmyndig-
368
Tillsyn
heten och länsstyrelserna i Stockholms län, Skåne län, Västra Götalands län och Norrbottens län. Eftersom det är fråga om myndigheter med civil inriktning
8
bör de stå under tillsyn av Säkerhetspolisen.
Ovanstående förslag innebär att antalet tillsynsobjekt under Säkerhetspolisen minskar rejält men att Säkerhetspolisen fortfarande har fler tillsynsobjekt än Försvarsmakten. Utgångspunkten för våra överväganden har som ovan nämnts varit att Försvarsmaktens och Säkerhetspolisens resurser i första hand bör användas för tillsyn över de allra mest skyddsvärda verksamheterna. Att flertalet av de mest skyddsvärda verksamheterna ligger utanför det militära området får den följden att de föreslås stå under tillsyn av Säkerhetspolisen. Att dessa verksamheter har den mest lämpade tillsynsmyndigheten är enligt vår mening överordnat att försöka uppnå en jämn fördelning mellan Försvarsmakten och Säkerhetspolisens tillsynsansvar. Fördelningen mellan myndigheterna påverkar dock hur resurserna bör fördelas, vilket vi återkommer till i konsekvensanalysen (se kapitel 11).
Försvarsmateriel
Inom försvarsindustrin finns ett antal enskilda verksamhetsutövare som är viktiga för det militära försvarets förmåga att utföra sitt uppdrag. Det rör sig till exempel om forskning, utveckling och produktion av försvarsmateriel (se prop. 2017/18:89 s. 44). Försvarsindustrin är alltså ett område där det typiskt sett bedrivs säkerhetskänslig verksamhet med betydande skyddsvärden.
I den nya säkerhetsskyddsförordningen finns inget särskilt utpekat tillsynsansvar över enskilda verksamhetsutövare i försvarsindustrin. Det innebär att det är länsstyrelsen i det län där verksamhetsutövaren har sitt säte som är ansvarig för tillsyn. Eftersom försvarsindustrin är mycket forsknings- och utvecklingsintensiv bedömer vi att det inte är lämpligt att tillsynsansvaret är placerat hos länsstyrelserna, som inte kan förväntas ha sådan specifik kompetens. Vår kartläggning visar dessutom att länsstyrelserna i princip inte har genomfört någon tillsyn. Vi bedömer med hänsyn till detta att någon annan myndighet bör ha tillsynsansvaret.
8 Se t.ex. 3 § 8 förordningen (2017:868) med länsstyrelseinstruktion om ansvaret för det civila försvaret.
369
Tillsyn SOU 2018:82
Tillsynsområdet behöver definieras och avgränsas i förhållande till andra enskilda verksamhetsutövare. Det som är kännetecknande för de aktuella verksamheterna är att det är fråga om forskning, utveckling eller produktion av försvarsmateriel i någon form. Enligt vår bedömning inryms också tjänster som är relaterade till försvarsmateriel. Vi anser därför att begreppet försvarsmateriel är tillräckligt precist för att täcka det tillsynsområde det är fråga om.
Nästa fråga är vilken myndighet som bör ta över ansvaret för tillsyn över området försvarsmateriel från länsstyrelserna. Som nämnts ovan har Försvarsmakten hög sak- och tillsynskompetens inom området försvarsmateriel. Att utöka Försvarsmaktens tillsynsansvar till att omfatta enskilda verksamhetsutövare skulle innebära en betydande ökning av antalet tillsynsobjekt och är inte i linje med utredningens utgångspunkt att myndighetens resurser bara ska användas för de allra mest skyddsvärda verksamheterna och det ansvar som Försvarsmakten föreslås få som samordningsmyndighet.
Totalförsvarets forskningsinstitut (FOI) sorterar under Försvarsdepartementet och har bl.a. till uppgift att bedriva forskning, metodoch teknikutveckling samt utredningsarbete för totalförsvaret (1 § förordningen [2007:861] med instruktion för Totalförsvarets forskningsinstitut). Försvarsmakten är en av FOI:s uppdragsgivare och FOI har medverkat med expertstöd i utvecklingen av Gripen-systemet och annan försvarsmateriel.
9
Försvarets materielverk är en annan myndighet med hög sakkompetens på området. Försvarets materielverk har i uppgift att upphandla byggentreprenader, varor och tjänster samt tillhandahålla logistiktjänster på uppdrag av Försvarsmakten (1 § förordningen [2007:854] med instruktion för Försvarets materielverk). Som en följd kontrollerar Försvarets materielverk säkerhetsskyddet hos ett stort antal leverantörer som myndigheten har tecknat säkerhetsskyddsavtal med i egenskap av avtalsslutande myndighet. Försvarets materielverk har därmed god kännedom om verksamheterna på området liksom betydande erfarenhet av kontroll av säkerhetsskydd. Mot den bakgrunden bedömer vi att Försvarets materielverk ligger närmast till hands för uppdraget att utöva tillsyn över enskilda verksamhetsutövare inom området försvarsmateriel.
9 FOI:s hemsid a https://www.foi.se/kunder--partners/foi-och-forsvaret.html i dess lydelse den 24 oktober 2018.
370
Tillsyn
Den föreslagna rollen innebär att Försvarets materielverk kommer att uppträda både som avtalsslutande myndighet och som tillsynsmyndighet i förhållande till samma verksamhetsutövare. De frågor som kan uppstå i en sådan situation utvecklas närmare i avsnitt 8.7.5.
Området finansiella företag
I propositionen Ett modernt och stärkt skydd för Sveriges säkerhet –
ny säkerhetsskyddslag (prop. 2017/18:89) nämns finansiella tjänster
som exempel på verksamheter som kan röra Sveriges säkerhet (s. 44). Skadekonsekvenserna kan exempelvis bestå av störningar eller bortfall av tjänster som är nödvändiga för samhällets funktionalitet ur ett nationellt perspektiv. Det centrala finans- och betalningssystemet är exempel på finansiella tjänster som kan utgöra skyddsvärda intressen (jfr SOU 2015:25 s. 300). Finansiella tjänster är därmed ett område där det typiskt sett bedrivs säkerhetskänslig verksamhet.
I den nya säkerhetsskyddsförordningen finns inget särskilt utpekat tillsynsansvar över enskilda verksamhetsutövare som verkar inom området finansiella tjänster. Det innebär att ansvaret för tillsyn över verksamhetsutövare inom området finansiella tjänster ligger på länsstyrelserna. Som vi tidigare nämnt visar vår kartläggning att länsstyrelserna i princip inte har genomfört någon tillsyn. Vi kan också konstatera att verksamheter på det finansiella området ofta är omfattande och komplicerade och att tillsynsobjekten som regel är resursstarka och har en hög ege n kompetens.
10
Vi bedömer mot den
bakgrunden att det är lämpligt att länsstyrelserna frigörs från tillsynsansvaret på det finansiella området och att en myndighet får ett utpekat ansvar för tillsyn över området.
Frågan är härefter hur tillsynsområdet bör ringas in. Ett begrepp som används i författning är finansiella företag. I begreppet ingår försäkringsföretag, kreditinstitut, värdepappersbolag, fondbolag, börser, clearingorganisationer, värdepapperscentraler och vissa förvaltare enligt vad som närmare anges i 2 § första stycket 3 lagen (2000:35) om byte av redovisningsvaluta i finansiella företag. Begreppet finansiella
företag är dock inte heltäckande eftersom utländska företag som be-
driver sådan verksamhet i Sverige inte omfattas om de inte är registrerade hos Finansinspektionen. Som exempel kan nämnas Nordea
10 Statskontorets rapport Tänk till om tillsynen s. 71.
371
Tillsyn SOU 2018:82
Bank som är Sveriges största bank men inte utgör ett finansiellt företag enligt lagen om byte av redovisningsvaluta i finansiella företag eftersom det är en filial till moderbolaget i Finland.
11
Detsamma
gäller för Danske Bank. Enligt vår bedömning är det rimligt att avgränsa tillsynsområdet till den typ av verksamhet som ryms inom begreppet finansiella företag, dock utan något krav på att verksamheten ska vara föremål för registrering, tillstånd eller liknande. Vi föreslår därför att tillsynsområdet definieras som finansiella företag och
motsvarande utländska företag som är etablerade i Sverige.
Härefter uppkommer frågan om vilken myndighet som bör få ansvar för tillsyn över det nu diskuterade området. Finansinspektionen är den myndighet som har ansvar för att övervaka finansmarknaden och har i den egenskapen befogenhet att utöva tillsyn och besluta om sanktioner. Finansinspektionen är också tillsynsmyndighet enligt förordningen (2018:1175) om informationssäkerhet för vissa tillhandahållare av samhällsviktiga tjänster och digitala tjänster för sektorerna bankverksamhet och finansmarknadsinfrastruktur.
Utifrån Finansinspektionens nuvarande uppdrag och vad som framkommit under utredningens arbete är vår bedömning att det vid Finansinspektionen finns hög sak- och tillsynskompetens på området. Vi bedömer därför att Finansinspektionen är en lämplig myndighet att överta länsstyrelsernas tillsynsansvar över finansiella tjänster.
Området kärnteknisk verksamhet
Kärnteknisk verksamhet kan ha stor skadegenererande effekt med skadekonsekvenser över lång tid och över långa avstånd. Kärnteknisk verksamhet i form av kärnkraftverk har också stor betydelse för en fungerande energiförsörjning. Det är alltså fråga om verksamheter med mycket höga skyddsvärden.
Det finns omfattande reglering om kärnteknisk verksamhet men enligt den nya säkerhetsskyddsförordningen finns inget särskilt utpekat tillsynsansvar över sådan verksamhet. Eftersom Affärsverket svenska kraftnät har ansvar för tillsyn över elförsörjningsverksamhet utövar myndigheten dock tillsyn över kärnkraftverken ur ett elförsörjningsperspektiv. Tillsynsansvaret för övriga kärntekniska anläggningar, alltså de som inte är en del av elförsörjningen, är länsstyrelsernas eftersom
11 Svenska bankföreningen (2017), Bankerna i Sverige s. 8.
372
Tillsyn
det är fråga om verksamhet som ligger utanför övriga tillsynsmyndigheters ansvarsområden.
Vår bedömning är att den nuvarande ordningen för tillsyn över kärnteknisk verksamhet inte är ändamålsenlig. Det grundar vi i första hand på att tillsyn över kärntekniska anläggningar förutsätter djup och ingående specialistkompetens om denna komplexa verksamhet. Utifrån Affärsverket svenska kraftnäts och länsstyrelsernas författningsreglerade uppdrag kan det inte förväntas att de har sådan specialistkompetens. En annan aspekt som talar för att den nuvarande ordningen inte är ändamålsenlig är att tillsynsansvaret över kärnteknisk verksamhet är fördelat mellan flera myndigheter. Det innebär att flera myndigheter kan komma att utöva tillsyn över samma område. Vi anser att det inte är effektivt och att det dessutom ökar risken för att tillsynen inte bedrivs på ett enhetligt sätt och att tillsynsobjekt utsätts för oförenliga krav.
Ett alternativ till den nuvarande ordningen är att tillsynen över all kärnteknisk verksamhet hålls samman i en myndighet. Inte minst verksamhetens komplexitet och särart talar för en sådan lösning. Redan i dag är i princip all kärnteknisk verksamhet underkastad detaljerade krav enligt lagen (1984:3) om kärnteknisk verksamhet. Strålsäkerhetsmyndigheten har ansvaret för att meddela föreskrifter, pröva tillstånd och bedriva tillsyn enligt lagen om kärnteknisk verksamhet. Vi ser inga tungt vägande skäl för att tillsyn över kärnteknisk verksamhet ska hanteras på annat sätt när det gäller säkerhetsskydd. I stället bedömer vi att det finns stora samordningsvinster med att en och samma myndighet har det samlade ansvaret för tillsyn över kärnteknisk verksamhet. Vi noterar också att det internationella atomenergiorganet IAEA har rekommenderat den svenska regeringen att se över säkerhetsskyddslagstiftningen och överväga om Strålsäkerhetsmyndigheten bör få ansvar för tillsyn över all kärnteknisk verksamhet.
12
Affärsverket svenska kraftnät har till utredningen invänt mot att ändra den nuvarande ordningen och har framfört att en delning av säkerhetsskyddsarbetet inom elförsörjningen inte bidrar till ett homogent säkerhetsskydd. Myndigheten har också framfört att det varken
12 IAEA (2011), International physical protection advisory service (IPPAS), Mission report:
Sweden s. 60.
373
Tillsyn SOU 2018:82
är optimalt eller oproblematiskt att företagen som äger kärnkraftverken ska behöva följa olika säkerhetsskyddsinstruktioner för olika produktionskällor.
En av våra utgångspunkter har varit att det bör finnas en utpekad tillsynsmyndighet inom varje område där det typiskt sett bedrivs säkerhetskänslig verksamhet, vilket inte är fallet när det gäller kärnteknisk verksamhet enligt den nya säkerhetsskyddsförordningen. Att införa en utpekad tillsynsmyndighet inom varje område där det typiskt sett bedrivs säkerhetskänslig verksamhet kommer oundvikligen att innebära att olika former av säkerhetskänsliga verksamheter överlappar, vilket vi utvecklar nedan under rubriken Aktörer som verkar på flera
områden. I det här fallet är det fråga om att den kärntekniska verk-
samhet som bedrivs vid kärnkraftverken också är en central del i elförsörjningen. Med tanke på den kärntekniska verksamhetens särart och höga skyddsvärden anser vi att det är befogat att tillsynen på detta område hålls samman och bedrivs av en myndighet med sakkunskap på området. Eftersom vi bedömer att elförsörjningen är mindre homogen anser vi att motsvarande argument inte väger lika tungt för att hålla samman elförsörjningen inom säkerhetsskyddet.
Vi bedömer att Strålsäkerhetsmyndigheten är den myndighet som bör få ansvar för tillsyn av säkerhetsskyddet för kärnteknisk verksamhet. Strålsäkerhetsmyndigheten är som ovan nämnts den myndighet som övervakar efterlevnaden av lagen om kärnteknisk verksamhet och har redan i dag mycket god kännedom om relevanta förhållanden vid de svenska kärntekniska anläggningarna. Därtill har myndigheten lång erfarenhet av tillsyn och sanktioner. Konsekvensen av vårt föreslag är att Affärsverket svenska kraftnät frigörs från tillsynsansvaret för kärnkraftverken och att länsstyrelserna frigörs från tillsynsansvaret för övriga kärntekniska anläggningar.
Eftersom området kärnteknisk verksamhet är väl avgränsat och tydligt reglerat i både i svensk lagstiftning och i internationella överenskommelser bör begreppet också användas för att definiera vad detta tillsynsansvar omfattar.
374
Tillsyn
Energi- och elförsörjningsområdet
Energiförsörjning har en central roll bland skyddsvärda funktioner eftersom så gott som alla verksamheter är beroende av energi för att fungera. Elektricitet har en särställning inom energiförsörjningen då avbrott i elförsörjningen kan medföra allvarliga skadekonsekvenser på många andra områden, till exempel i elektroniska kommunikationsnät och centrala betalningssystem (se prop. 2017/18:89 s. 44). Det står alltså klart att elförsörjning är ett område där det typiskt sett bedrivs säkerhetskänslig verksamhet.
Enligt den nya säkerhetsskyddsförordningen har Affärsverket svenska kraftnät ett utpekat ansvar för tillsyn över elförsörjningsverksamhet. Det är enligt vår bedömning lämpligt att Affärsverket svenska kraftnät har kvar det ansvaret. Myndighetens uppdrag är bland annat att förvalta, driva och utveckla ett kostnadseffektivt, driftsäkert och miljöanpassat kraftöverföringssystem och att svara för tillsyn i frågor om driftsäkerhet hos det nationella elsystemet (se 1 och 3 §§ förordningen [2007:1119] med instruktion för Affärsverket svenska kraftnät). De uppdragen medför att myndigheten har både sak- och tillsynskompetens inom området som även i fortsättningen bör utnyttjas.
I våra direktiv uppmärksammas att det under remissbehandlingen av betänkandet En ny säkerhetsskyddslag (SOU 2015:25) framförts att det bör införas ett särskilt tillsynsansvar över fjärrvärme-, naturgas-, olje- och drivmedelsförsörjning och att ansvaret bör ligga hos Statens energimyndighet.
Fjärrvärme är den dominerande uppvärmningsformen i centralorterna i cirka 250 av landets 290 kommuner och finns i ytterligare drygt 20 kommuner. Fjärrvärmesystemen är ofta lokala men sträcker sig i några fall öve r kommungränserna.
13
Statens energimyndighet
har i sitt remissyttrande över SOU 2015:25 framfört att fjärrvärmeförsörjningen har ett skyddsvärde eftersom ett längre värmeavbrott, särskilt i storstäderna, blir så omfattande att det innebär allvarliga nationella konsekvenser. I remissyttrandet framförs också att beroendet av olja och drivmedel är omfattande och att stora konsekvenser kan uppstå inom ett fåtal dygn vid uteblivna leveranser. Som exempel pekas på att samhällsviktig verksamhet vid elavbrott till stor del är beroende av fungerande reservkraft som drivs av oljeprodukter. I remissyttrandet framförs vidare att avbrott i naturgasförsörjningen
13 Energimyndighetens rapport Risken för avbrott i fjärrvärme (ER 2016:03) s. 11.
375
Tillsyn SOU 2018:82
kan medföra allvarliga nationella konsekvenser, bland annat eftersom naturgas är grunden för större delen av fjärrvärmeproduktionen i flera av landets största städer.
14
Med hänsyn till det anförda bedömer vi att även fjärrvärme-, naturgas-, olje- och drivmedelsförsörjning är områden där det typiskt sett kan bedrivas säkerhetskänslig verksamhet och som därför bör ha en utpekad tillsynsmyndighet. Den bedömningen grundar vi på de synpunkter som Statens energimyndighet framfört i remissyttrandet ovan. Vi väger också in att det finns många inbördes beroenden mellan energislagen samt mellan energislagen och andra verksamhetsområden, såsom transportsektorns beroende av drivmedelsförsörjning för att kunna klara av skyddsvärda transporter på land, till sjöss eller i luften. Vi noterar också att det finns höga skyddsvärden i den infrastruktur och de system som används vid försörjning av de olika energislagen. Mot den bakgrunden föreslår vi att det införs ett utpekat tillsynsansvar för fjärrvärme-, naturgas-, olje- och drivmedelsförsörjning.
Frågan är därefter vilken myndighet som bör få ett sådant tillsynsansvar. Ett alternativ är att Affärsverket svenska kraftnät, som i dag har ansvar för tillsyn över elförsörjningsverksamhet, får ansvar för tillsyn över hela energiområdet. Att hålla samman tillsynen över energiområdet i en myndighet kan ge samordningsvinster och en bättre möjlighet att överblicka området. Affärsverket svenska kraftnäts uppdrag inom energiområdet är dock som ovan nämnts framför allt inriktat på försörjning av elektricitet, vilket talar emot att uppdraget ska gälla hela området. Ett annat alternativ är Statens energimyndighet, som har till uppgift att utveckla och samordna samhällets krisberedskap inom energiberedskapsområdet och verka för försörjningstrygghet.
15
Vidare har myndigheten särskilda uppgifter inom samverkansom-
rådena teknisk infrastruktur och transporter enligt förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Statens energimyndighet har också ansvar för tillsyn över beredskapslagring av olja och har författningsreglerade uppgifter för fjärrvärme, naturgas oc h drivmedel.
16
Ovan-
stående leder oss till bedömningen att Statens energimyndighet är
14 Energimyndighetens beslut med diarienummer 2015-3788. 15 1 och 2 §§ 13 förordningen (2014:520) med instruktion för Statens energimyndighet. 16 Förordningen (2014:520) med instruktion för Statens energimyndighet, förordningen (2012:275) om trygg naturgasförsörjning och förordningen (2012:873) om beredskapslagring av olja.
376
Tillsyn
den myndighet som har den mest relevanta sak- och tillsynskompetensen på området. Vi föreslår därför att Statens energimyndighet får ansvar för tillsyn över enskilda verksamhetsutövare inom verksamhetsområdena fjärrvärme-, naturgas- samt olje- och drivmedelsförsörjning.
Området dammanläggningar
En fråga med nära anknytning till energiområdet är dammanläggningar. I propositionen Dammsäkerhet anförde regeringen bl.a. följande (prop. 2013/14:38 s. 12–14).
I Sverige finns uppskattningsvis 10 000 dammar av varierande storlek och ålder. Flertalet av dessa dammar används inte för någon form av vattenutnyttjande men kan ha stort kulturhistoriskt värde. Cirka 190 dammar är vattenkraftdammar, som har en största höjd från grundläggningsnivån till krönet på 15 meter eller mer. […] Utöver de höga vattenkraftdammarna finns det i landet cirka 15 gruvdammar som är att beteckna som höga dammar. […] Med dammhaveri menas att dammen inte förmår hålla tillbaka det uppdämda vattnet utan det sker en okontrollerad utströmning av det uppdämda vattnet från magasinet. […] Konsekvenserna av ett dammhaveri kan variera starkt och beror främst på volymen hos den uppdämda vattenmängden, dammens höjd och längd samt beskaffenheten hos området nedanför dammen, dvs. det område som blir översvämmat till följd av dammhaveriet. […] Ett dammhaveri i en damm belägen högt upp i ett vattendrag med stor uppdämd volym i magasinet kan alltså få stora konsekvenser och översvämningsområdet kan sträcka sig ända ner till havet. Under olyckliga omständigheter får man räkna med att tusentals personer kan omkomma och att materiella skador för tiotals miljarder kronor kan uppstå. I vissa fall kan ett sådant dammhaveri leda till att infrastrukturen längs en hel älvdal slås ut på ett långvarigt och omfattande sätt. Viktiga samhällsfunktioner kan således slås ut eller allvarligt störas i hela eller stora delar av landet till följd av ett dammhaveri. Det gäller främst elförsörjningen och transporter på väg- och järnvägsnätet.
Vår bedömning är att dammanläggningar är ett område där det typiskt sett bedrivs säkerhetskänslig verksamhet. Det grundar vi dels på vad som uttalades i propositionen ovan, dels på den omständigheten att cirka 25 dammanläggningar är aktuella för klassificering i den högsta dammsäkerhetsklassen eftersom regeringen har bedömt att ett haveri vid någon av dem kan få så allvarliga konsekvenser att det leder till en nationell kris (prop. 2013/14:38 s. 24 och 41).
377
Tillsyn SOU 2018:82
Frågan är då hur ansvaret för tillsyn över dammanläggningar ser ut enligt den nya säkerhetsskyddsförordningen. Flera av de dammanläggningar som är aktuella för klassificering i den högsta dammsäkerhetsklassen är vattenkraftsdammar som producerar el (prop. 2013/14:38 s. 24). Det innebär att Affärsverket svenska kraftnät får anses ha ansvar för tillsyn över de anläggningarna när det gäller elförsörjningen. Affärsverket svenska kraftnät har dock framfört till oss att myndighetens tillsynsansvar enbart gäller för komponenter som rör elförsörjningen men inte för dammanläggningarna i sin helhet och att ansvaret i förhållande till länsstyrelserna är otydligt.
Att Affärsverket svenska kraftnäts tillsynsansvar enligt nya säkerhetsskyddsförordningen bara gäller elförsörjningen innebär enligt vår uppfattning dels att myndighetens kontroller av säkerhetsskyddet av vattenkraftsdammar inskränks, dels att länsstyrelserna har ansvar för säkerhetsskyddet i övriga avseenden vid dessa dammar. Tillsynsansvaret för de dammanläggningar som inte är en del av elförsörjningen ligger däremot i sin helhet på länsstyrelserna.
Vi ser flera nackdelar med denna ordning. För det första kan det innebära att en och samma verksamhetsutövare blir föremål för tillsyn från fler än en tillsynsmyndighet, vilket kan bli onödigt kostnadsdrivande och medföra risk för oförenliga krav. För det andra noterar vi att olika typer av dammar kommer att ha olika tillsynsmyndigheter. Slutligen ser vi risker med att Affärsverket svenska kraftnäts tillsynsansvar över dammarna inte omfattar den säkerhetskänsliga verksamheten i sin helhet. Det begränsade tillsynsansvaret skulle exempelvis kunna medföra att Affärsverket svenska kraftnät inte kontrollerar säkerhetsskyddet när det gäller driftsystem och andra aspekter som inte bedöms vara en del av elförsörjningen. Just felaktig drift är en faktor som har påtalats när det gäller dammsäkerhet (se prop. 2013/14:38 s. 15). Samtliga nackdelar som vi nu har påtalat har sin grund i att Affärsverket svenska kraftnäts tillsynsansvar är begränsat till elförsörjningsverksamhet. Vi bedömer att den mest lämpliga lösning som står till buds är att införa ett särskilt utpekat tillsynsansvar över dammanläggningar.
Vi kommer härefter att behandla frågan om vilken myndighet som bör ha ansvar för tillsyn över säkerhetsskyddet vid dammanläggningar. I dag har Affärsverket svenska kraftnät i uppgift att lämna tillsynsvägledning till länsstyrelserna i frågor om dammsäkerhet (se 3 kap. 3 § miljötillsynsförordningen och 11 kap. miljöbalken). Med
378
Tillsyn
tillsynsvägledning avses utvärdering, uppföljning och samordning av operativ tillsyn samt stöd och råd till de operativa tillsynsmyndigheterna (se 1 kap. 3 § miljötillsynsförordningen). Det är länsstyrelserna som utövar den faktiska tillsynen över dammar (se 2 kap. 19 § 3 och 29 § första stycket 2 miljötillsynsförordningen).
Det som talar för att länsstyrelserna bör få ansvar för tillsyn över säkerhetsskyddet vid dammanläggningar är att de redan i dag bedriver tillsyn över dammar enligt miljötillsynsförordningen. Därmed har länsstyrelserna upparbetat en viss sak- och tillsynskompetens på området. Vad som enligt vår bedömning talar emot ett sådant ansvar är att det torde vara ett mycket begränsat antal dammanläggningar som har betydelse för Sveriges säkerhet och därmed omfattas av säkerhetsskyddslagen samt att dammanläggningar av sådan karaktär är utspridda över sju olika län (prop. 2013/14:38 s. 24). Därmed kan man förvänta sig att samordningsvinsterna blir få i jämförelse med att placera ansvaret vid en enda myndighet.
Ett alternativ är att Affärsverket svenska kraftnät får ansvar för tillsynen över samtliga dammanläggningar där det bedrivs säkerhetskänslig verksamhet. Utöver uppgiften att svara för tillsynsvägledning mot länsstyrelserna i fråga om dammsäkerhet ska myndigheten enligt dess instruktion främja dammsäkerhet och verka för att riskerna för en allvarlig störning på samhället genom dammhaveri eller höga flöden i reglerade vattendrag minskar (se 3 § 7 och 5 § 2 förordningen med instruktion för Affärsverket svenska kraftnät). Att Affärsverket svenska kraftnät redan i dag har en form av övergripande ansvar för dammsäkerhet i Sverige talar enligt vår bedömning för att myndigheten bör få ansvar för tillsynen över säkerhetsskyddet vid landets samtliga dammanläggningar. Vår kartläggning visar dessutom att Affärsverket svenska kraftnät bedriver ett systematiskt, om än begränsat, tillsynsarbete över säkerhetsskyddet inom elförsörjningen. Mot den bakgrunden bedömer vi att övervägande skäl talar för att Affärsverket svenska kraftnät bör få ansvar för tillsyn över området dammanläggningar.
379
Tillsyn SOU 2018:82
Transportområdet
Inom området transporter finns skyddsvärden inom de olika färdmedlen, de viktiga styrsystemen och den infrastruktur som behövs för transporterna (SOU 2015:25 s. 301). Det ligger enligt vår uppfattning nära till hands att antagonistiska handlingar mot exempelvis centrala knutpunkter i transportinfrastrukturen eller styrsystem mycket snabbt kan få nationella konsekvenser. Vi bedömer därmed att det typiskt sett bedrivs säkerhetskänslig verksamhet inom transportområdet. Vi ser att störning eller bortfall inom trafikslagen luftfart, vägtrafik, sjöfart och järnväg skulle kunna medföra skadekonsekvenser på nationell nivå.
Tillsyn över enskilda verksamhetsutövare
Enligt den nya säkerhetsskyddsförordningen har Transportstyrelsen ansvar för tillsyn när det gäller enskilda verksamhetsutövare som bedriver flygtrafiktjänst för civil luftfart, flygtrafikledningstjänst för militär luftfart och verksamhet som i övrigt är av betydelse för luftfartsskydd, hamnskydd och sjöfartsskydd. Ovan har vi kommit till slutsatsen att det typiskt sett även bedrivs säkerhetskänslig verksamhet inom trafikslagen vägtrafik och järnväg. Eftersom det inte finns något särskilt utpekat tillsynsansvar för enskilda verksamhetsutövare inom trafikslagen vägtrafik och järnväg är det i dag länsstyrelserna som har ansvar för tillsyn över enskilda verksamhetsutövare inom de trafikslagen.
Den nuvarande ansvarsfördelningen inom transportområdet är inte i linje med vår utgångspunkt att det bör det finnas en utpekad tillsynsmyndighet inom varje område där det typiskt sett bedrivs säkerhetskänslig verksamhet. Vi ser inte att det finns skäl för att just inom transportområdet dela upp tillsynsansvaret. Tvärt om ser vi stora fördelar med att hålla samman samtliga trafikslag inom ett tillsynsområde, inte minst för att trafikslagen har ömsesidiga beroenden och kan sägas vara en del av samma transportsystem. Mot den bakgrunden anser vi det lämpligt att hålla samman tillsynen över hela transportområdet.
380
Tillsyn
Transportstyrelsen är den myndighet som har till huvuduppgift att svara för regelgivning, tillståndsprövning och tillsyn inom transportområdet (1 § förordningen [2008:1300] med instruktion för Transportstyrelsen). Vår kartläggning visar förvisso att Tranportstyrelsen inte har bedrivit någon tillsyn enligt den gamla säkerhetsskyddsförordningen eftersom myndigheten inte uppfattat att den haft ett sådant uppdrag. Samtidigt kan vi konstatera att Tranportstyrelsen har författningsreglerade tillsynsuppdrag inom bland annat hamnskydd, sjöfartsskydd, luftfart och järnväg samt att myndigheten genomför ett stort antal tillsynsaktiviteter per år utanför säkerhetsskyddsområdet (se 3 § förordningen [2006:1213] om hamnskydd, 4 § förordningen [2004:283] om sjöfartsskydd, 12 kap. 1 § luftfartsförordningen [2010:770] och 1 kap. 2 § järnvägsförordningen [2004:526]). Transportstyrelsen är enligt vår bedömning den myndighet som har den mest relevanta områdes- och tillsynskompetensen för att bedriva tillsyn över säkerhetsskyddet på transportområdet. Vi föreslår därför att Transportstyrelsen får ansvar för tillsyn över enskilda verksamhetsutövare inom de trafikslag där vi bedömer att det typiskt sett bedrivs säkerhetskänslig verksamhet, nämligen civil luftfart,
vägtrafik, sjöfart och järnväg. Förutom att denna definition av tillsyns-
området inrymmer vägtrafik och järnväg är den alltså inte begränsad till luftfartsskydd, hamnskydd och sjöfartsskydd utan gäller respektive transportslag i sin helhet.
Tillsyn över myndigheter på transportområdet
Nästa fråga är om det finns skäl för att låta Transportstyrelsen utöva tillsyn över andra myndigheter inom transportområdet, och i första hand Sjöfartsverket, Trafikverket och Luftfartsverket. Sjöfartsverket har ansvar för de svenska farlederna, se 2 § förordningen (2007:1161) med instruktion för Sjöfartsverket. Trafikverket förvaltar järnvägsnätet som tillhör staten, se 2 § 9 förordningen (2010:185) med instruktion för Trafikverket. Luftfartsverket tillhandahåller flygtrafiktjänst för civil och militär luftfart, se 1 § förordningen (2010:184) med instruktion för Luftfartsverket.
381
Tillsyn SOU 2018:82
Det handlar i alla tre fall om verksamheter som inrymmer viktiga skyddsvärden och som har nära anknytning till Transportstyrelsens huvuduppdrag att svara för regelgivning, tillståndsprövning och tillsyn inom transportområdet. Som vi nämnt ovan utövar Transportstyrelsen redan i dag tillsyn inom områdena sjöfart, luftfart och järnväg i stor omfattning, vilket innebär att Transportstyrelsen även har relevant områdes- och tillsynskompetens för att bedriva tillsyn av säkerhetsskyddet vid Sjöfartsverket, Trafikverket och Luftfartsverket. I sammanhanget bör det framhållas att den flygtrafiktjänst som Luftfartsverket ansvarar för även avser militär luftfart. I grunden är det fråga om en och samma flygtrafiktjänst, vilket medför att det finns stora samordningsvinster med att hålla samman tillsynen. Att flygtrafiktjänsten används för både civila och militära ändamål innebär enligt vår bedömning inte att det skulle vara olämpligt att låta Transportstyrelsen tillsyn avse flygtrafiktjänsten i dess helhet.
Transportstyrelsen är den myndighet som har till huvuduppgift att svara för regelgivning, tillståndsprövning och tillsyn inom transportområdet. Det kan samtidigt noteras att Trafikverket enligt 3 a § förordningen med instruktion för Trafikverket har i uppdrag samverka med andra aktörer och därvid vidta åtgärder i syfte att utveckla och samordna krisberedskap och planering för höjd beredskap inom transportområdet. Vidare är såväl Transportstyrelsen som Trafikverket utpekade myndigheter med särskilda ansvar inom samverkansområdet transporter enligt förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Trafikverket har alltså i någon mening ett mer långtgående ansvar när det gäller krisberedskap och planering för höjd beredskap samtidigt som Transportstyrelsen utövar tillsyn över Trafikverket i verkets roll som infrastrukturhållare av det statligt ägda järnvägsnätet (se 2 § 9 förordningen med instruktion för Trafikverket och 2 § 1 förordningen med instruktion för Transportstyrelsen). Med detta sagt är vår bedömning att Transportstyrelsens omfattande tillsynsuppdrag på transportområdet medför att myndigheten mest lämpad bland myndigheterna på området för att utöva tillsyn enligt säkerhetsskyddslagen.
Ett alternativ till att låta Tranportstyrelsen får ansvar för tillsyn över Sjöfartsverket, Trafikverket och Luftfartsverket är att placera det ansvaret hos Säkerhetspolisen. Eftersom vår utgångspunkt är att Säkerhetspolisens resurser i första hand bör användas för tillsyn över de allra mest skyddsvärda verksamheterna och för det samordnande
382
Tillsyn
ansvar som de föreslås få, anser vi inte att Säkerhetspolisen bör få ett sådant ansvar.
Nedan, under rubriken Övriga verksamhetsutövare, föreslår vi att länsstyrelserna får ansvar för tillsyn över myndigheter som inte särskilt har pekats ut som tillsynsobjekt. Vi ser inga direkta fördelar med att låta länsstyrelserna utöva tillsyn över Sjöfartsverket, Trafikverket och Luftfartsverket. Vi kan inte se att det skulle finnas några starka lokala eller regionala perspektiv som talar för att placera tillsynsansvaret hos länsstyrelserna.
Vid en samlad bedömning av vad vi har framfört om behovet av att hålla samman tillsynen över transportområdet samt med hänsyn till Transportstyrelsens uppdrag och befintliga kompetens bedömer vi att Transportstyrelsen är den mest lämpliga tillsynsmyndigheten för Sjöfartsverket, Trafikverket och Luftfartsverket. Vi föreslår därför att Transportstyrelsens tillsynsansvar över säkerhetsskyddet utökas till att omfatta dessa myndigheter.
Områdena elektronisk kommunikation och posttjänster
Elektronisk kommunikation har en central roll bland skyddsvärda verksamheter eftersom den är en grundförutsättning för att flera säkerhetskänsliga verksamheter ska kunna fungera. Störningar eller bortfall i tjänster för elektronisk kommunikation kan enligt vår bedömning mycket snabbt få nationella konsekvenser.
Under remissbehandlingen av betänkandet En ny säkerhetsskydds-
lag (SOU 2015:25) framfördes att Post- och telestyrelsen även bör
få ansvar för tillsyn över postområdet, vilket är fallet enligt den nya säkerhetsskyddsförordningen. Vi bedömer att detta är en lämplig ordning eftersom störningar eller bortfall inom postområdet potentiellt kan få nationella konsekvenser. Mot den bakgrunden ser vi inte att det finns skäl för att föreslå ändringar när det gäller områdena elektronisk kommunikation och posttjänster.
Begreppet posttjänst är definierat i författning och beskriver enligt vår uppfattning väl det skyddsvärda området (se 1 kap. 2 § postlagen [2010:1045]). Med elektronisk kommunikation menar vi i detta sammanhang elektronisk infrastruktur och de tjänster genom vilka
383
Tillsyn SOU 2018:82
denna infrastruktur tillgängliggörs. Hit hör även sådana logiska strukturer som internetknutpunkter, domännamnsystemet (DNS) och toppdomäner.
Övriga verksamhetsutövare
De förslag på ändringar av tillsynsstrukturen som beskrivs ovan omfattar inte alla typer av verksamhetsutövare som kan bli föremål för tillsyn. De tre kategorier av verksamhetsutövare som inte omfattas av förslagen är
1. kommuner och landsting,
2. myndigheter som inte särskilt har pekats ut, och
3. enskilda som inte verkar på något av de områden där vi bedömer
att det typiskt sett bedrivs säkerhetskänslig verksamhet.
Enligt den nya säkerhetsskyddsförordningen är det Säkerhetspolisen som har ansvar för tillsyn över kommuner och landsting samt alla myndigheter som inte hör till Försvarsmaktens ansvarsområde eller sorterar under riksdagen. Vi har i det föregående föreslagit att Säkerhetspolisens tillsynsansvar ska inriktas på de allra mest skyddsvärda myndigheterna och att Säkerhetspolisen ska frigöras från ansvar för kommuner och landsting.
En av utgångspunkterna för våra förslag om en ny tillsynsstruktur har varit att det bör finnas en tillsynsmyndighet inom varje område där det typiskt sett bedrivs säkerhetskänslig verksamhet. Med det sagt kan vi konstatera att verksamheters karaktär kan förändras liksom deras påverkan på Sveriges säkerhet. Det innebär att det både nu och i framtiden sannolikt kommer att finnas verksamheter som omfattas av säkerhetsskyddslagen utanför de områden där vi bedömt att det typiskt sett bedrivs säkerhetskänslig verksamhet. Vi behöver därför även i den kommande säkerhetsskyddsförordningen samla ansvaret för tillsyn över enskilda verksamhetsutövare som inte omfattas av någon annan tillsynsmyndighets ansvar (kategori 3 ovan).
384
Tillsyn
För att säkerställa att samtliga verksamheter som kan omfattas av den nya säkerhetsskyddslagen blir föremål för tillsyn är det alltså nödvändigt att någon eller några myndigheter tilldelas ansvaret för tillsyn över verksamheterna som ryms inom kategori 1–3 ovan. I fortsättningen kallar vi dem för övriga verksamhetsutövare.
Vi ser stora fördelar med att hålla samman tillsynen för övriga verksamhetsutövare eftersom det handlar om ett stort antal verksamhetsutövare varav flera har relativt stora likheter. Vi kan också konstatera att många av verksamheterna inom kategori 1 och 3 verkar på lokal eller regional nivå. En sammanhållen tillsyn över dem kan därför förväntas ge stora samordningsvinster.
Tillsynsansvaret bör ligga på länsstyrelserna
Nästa fråga är vilken eller vilka myndigheter som bör få tillsynsansvaret för övriga verksamhetsutövare. I SOU 2015:25 lämnades förslag med innebörden att Myndigheten för samhällsskydd och beredskap skulle få ansvar för tillsyn över kommuner och landsting samt för enskilda verksamhetsutövare som verkar utanför övriga tillsynsmyndigheters ansvarsområden. Flera remissinstanser framförde att den stödjande roll som MSB har på informationssäkerhetsområdet riskerar att försvagas om förslaget genomförs. Vi delar den uppfattningen och bedömer därför att MSB inte bör utöva tillsyn enligt den nya säkerhetsskyddslagen.
Vi har tidigare uttalat att Försvarsmaktens och Säkerhetspolisens resurser ska användas för de allra mest skyddsvärda verksamheterna och för det samordnande ansvar som de föreslås få. Försvarsmakten och Säkerhetspolisen är därför inte aktuella för att få tillsynsansvaret för övriga verksamhetsutövare.
Enligt den gamla säkerhetsskyddsförordningen har länsstyrelserna ansvar för tillsyn över enskilda verksamhetsutövare som verkar utanför övriga tillsynsmyndigheters ansvarsområden. Motsvarande gäller enligt den nya säkerhetsskyddsförordningen. Vår kartläggning visar att länsstyrelserna i princip inte har utfört någon tillsyn över säkerhetsskyddet. De enkätundersökningar som vi har genomfört visar dock att flera länsstyrelser har börjat eller inom kort kommer att påbörja arbete med tillsyn av säkerhetsskyddet. Enligt uppgift till
385
Tillsyn SOU 2018:82
utredningen pågår det för närvarande flera regionala samarbeten som rör säkerhetsskydd.
En samhällsförändring som enligt vår bedömning har betydelse för länsstyrelsernas roll inom säkerhetsskyddet är att planeringen för totalförsvaret har återupptagits, vilket närmare utvecklas i Försvarsberedningens delrapport Motståndskraft. Inriktningen av totalför-
svaret och utformningen av det civila försvaret 2021–2025 (Ds 2017:66
s. 40–43). Inom det civila försvaret är just länsstyrelserna viktiga aktörer. Som framgår av förordningen (2017:870) om länsstyrelsernas krisberedskap och uppgifter vid höjd beredskap är länsstyrelserna vid höjd beredskap högsta civila totalförsvarsmyndighet inom länet och ska därmed verka för att största möjliga försvarseffekt uppnås. Länsstyrelsen ska bland annat särskilt samordna de civila försvarsåtgärderna samt verka för att länets tillgångar fördelas och utnyttjas så att försvarsansträngningarna främjas. Av 4 § andra stycket 4 i förordningen framgår också länsstyrelserna ska upprätta regionala riskoch sårbarhetsanalyser som ska kunna användas som underlag för egna och andra berörda aktörers krisberedskapsåtgärder.
Den återupptagna planeringen för totalförsvaret och länsstyrelsernas roll inom det civila försvaret medför enligt vår bedömning att länsstyrelserna i större omfattning kommer att bedriva arbete som direkt och indirekt berör regionala skyddsvärden. Det kan också framhållas att det finns en etablerad relation mellan länsstyrelserna och kommunerna när det gäller kommunala risk- och sårbarhetsanalyser, vilket enligt vår bedömning talar för att länsstyrelserna bör få ansvar för tillsyn över kommunerna (se 2 kap. 1 § lagen [2006:544] om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap och 4 § 4 Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners risk- och sårbarhetsanalyser [MSBFS 2015:5]). Vi konstaterar också att länsstyrelserna redan i dag bedriver tillsyn inom ett flertal områden och att de därför får antas ha upparbetat en hög tillsynskompetens i allmänhet. Ovanstående leder oss till bedömningen att tillsynsansvaret för övriga verksamhetsutövare bör ligga hos länsstyrelserna.
386
Tillsyn
Ansvaret bör dock koncentreras till fyra länsstyrelser
Frågan är härefter om ansvaret för tillsyn för övriga verksamhetsutövare bör placeras hos samtliga 21 länsstyrelser eller om det finns skäl för att koncentrera tillsynen till ett mindre antal länsstyrelser. Vår kartläggning visar att nästan alla länsstyrelser saknar den kompetens som krävs för att genomföra tillsyn enligt säkerhetsskyddslagstiftningen. Samtidigt har flera av tillsynsmyndigheterna signalerat till utredningen att det råder brist på personal med säkerhetsskyddskompetens. Att bygga upp tillsynsfunktioner vid samtliga 21 länsstyrelser medför enligt vår mening därmed omotiverat stora kostnader. Vi ser också att antalet tillsynsobjekt inom ett stort antal län är så få att det kan medföra risk för att säkerhetsskyddskompetensen inte upprätthålls på sikt och att kvaliteten i tillsynsarbetet inte blir tillräckligt hög. Vi bedömer därför att tillsynsansvaret för övriga verksamhetsutövare bör koncentreras till ett mindre antal länsstyrelser.
Länsstyrelsernas organisation och uppdrag har varit föremål för diskussion i flera utredningar. I slutbetänkandet Statens regionala
förvaltning, förslag till angelägen reform (SOU 2012:81) föreslogs att
länsstyrelserna skulle bli större och elva till antalet. Bland annat uttalades att många av dagens länsstyrelser har för liten verksamhetsvolym inom ett stort antal områden och att få ärenden motverkar en effektiv och rättssäker prövning (s. 14 och 17). I Försvarsberedningens delrapport (Ds 2017:66) anfördes att samordningen och ledningen av den civila delen av totalförsvaret skulle gynnas av större områden på regional nivå. Försvarsberedningen föreslog därför att de 21 länen skulle bilda ett antal större geografiska civilområden med cirka 3–6 län inom varje område (s. 99). När det gäller det militära försvaret har Försvarsmakten delat in Sverige i fyra militärregioner. Varje region har en stab som har till uppgift att leda insatser vid nationella krissituationer och stöd till samhället. Det finns anledning att på nära håll följa utvecklingen när det gäller länsstyrelsernas framtida roll i civila delen av totalförsvaret eftersom det finns en tydlig koppling till säkerhetsskyddet. Försvarsberedningen väntas lämna sin slutrapport i maj 2019.
17
17 Betänkandet Myndighetsgemensam indelning – samverkan på regional nivå (SOU 2018:10).
387
Tillsyn SOU 2018:82
Redan i dag sker uppdelning av tillsynsansvar mellan länsstyrelserna. När det gäller tillsyn över auktoriserade delgivningsföretag har ansvaret fördelats mellan fyra länsstyrelser och när det gäller stiftelser har ansvaret fördelats mellan sju länsstyrelser (se 2 § förordningen [2011:155] om auktorisation av delgivningsföretag och 4 a § stiftelseförordning [1995:1280]).
Ansvaret för tillsyn av säkerhetsskyddet kommer enligt vår bedömning innebära att nya funktioner behöver byggas upp och tillsättas vid länsstyrelserna, vilket kommer att ta tid och medföra kostnader. Vi ser också att det kommer att krävas ett relativt stort antal tillsynsobjekt för att få kontinuitet i verksamheterna och för att upprätthålla hög sak- och tillsynskompetens. Vi föreslår därför att tillsynsansvaret för övriga verksamhetsutövare koncentreras till fyra länsstyrelser, nämligen de i Stockholm, Skåne, Västra Götaland och Norrbotten med utgångspunkt i den ansvarsfördelning som gäller för auktoriserade delgivningsföretag. Dock ser vi anledning att ändra ansvarsfördelningen när det gäller Gävleborgs län. Mot bakgrund av det stora geografiska avståndet till Norrbottens län bör det enligt vår mening vara Länsstyrelsen i Stockholms län som får ansvar för tillsyn när det gäller övriga verksamhetsutövare i Gävleborgs län.
När det gäller tillsyn över myndigheter som inte särskilt har pekats ut (kategori 2 ovan) kommer det i vissa fall vara fråga om myndigheter som bedriver verksamhet på flera orter. I de fallen är det myndighetens säte som bör vara avgörande för i vilket län myndigheten ska anses lokaliserad. Eftersom Säkerhetspolisen har sitt säte i Stockholms län behöver det dock anges att Länsstyrelsen i Stockholms läns tillsynsansvar inte avser Säkerhetspolisen. Ansvaret för tillsyn över myndigheter som inte har pekats ut särskilt innebär att länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län också kommer att bedriva tillsyn över säkerhetsskyddet hos övriga länsstyrelser. Justitiekanslern står inte under tillsyn enligt den nya säkerhetsskyddsförordningen. Vi har inte funnit anledning att ändra denna ordning.
En situation som i något enstaka fall skulle kunna uppstå är att en myndighet, kommun eller ett landsting bedriver säkerhetskänslig verksamhet inom något av de områden där vi har pekat ut en särskild tillsynsmyndighet, t.ex. Transportstyrelsen. Våra förslag går ut på att Transportstyrelsen ska vara tillsynsmyndighet för Sjöfartsverket, Trafikverket, Luftfartsverket och enskilda verksamhetsutövare inom
388
Tillsyn
områdena civil luftfart, vägtrafik, sjöfart och järnväg. En kommun som bedriver säkerhetskänslig verksamhet i form av t.ex. en flygplats skulle enligt våra förslag falla inom någon av de fyra länsstyrelsernas tillsynsområden och inte Transportstyrelsens. Vi bedömer dock att denna och liknande situationer sannolikt blir mycket sällsynta om de ens uppstår. Framför allt torde det vara ovanligt att en kommunal flygplats eller annan lokal anläggning är av betydelse för Sveriges säkerhet i den meningen att bortfall av verksamheten medför skadekonsekvenser på nationell nivå. Många sådana lokala och regionala verksamheter bedrivs dessutom ofta i bolagsform, vilket gör att de som regel faller inom något av de särskilt utpekade tillsynsområdena som vi redogjort för ovan. Vi ser därför inte att det finns skäl för att justera våra förslag utifrån vad som nu anförts.
Aktörer som verkar på flera områden
En fråga som kan komma att aktualiseras är hur tillsynsansvaret ska fördelas för enskilda som bedriver verksamhet inom flera utpekade områden. En av våra utgångspunkter för övervägandena om en ny tillsynsstruktur har varit att en och samma verksamhetsutövare inte får bli föremål för tillsyn från fler än en tillsynsmyndighet, vilket framför allt bör undvikas eftersom det kan blir kostnadsdrivande samt medföra risk för oförenliga krav och sanktioner. Frågan bör enligt vår mening brytas ner i tre delfrågor, nämligen hur denna typ av konflikt kan
1. undvikas,
2. upptäckas och
3. hanteras.
För att undvika att fler än en tillsynsmyndighet utövar tillsyn av samma tillsynsobjekt är det centralt att det förs en dialog mellan tillsynsmyndigheterna, särskilt inom områden där en sådan konflikt typiskt sett kan förväntas uppstå. Vi tänker oss att konflikter tidigt kan upptäckas, eller till och med undvikas, genom den information som tillsynsmyndigheterna får genom våra förslag om en sanktionerad anmälningsplikt (avsnitt 8.14) och en skyldighet för tillsynsmyn-
389
Tillsyn SOU 2018:82
digheterna att systematiskt kartlägga och dokumentera tillsynsobjekt inom sina respektive områden (avsnitt 8.15). Konflikten bör enligt vår mening lösas på så sätt att den ansvariga tillsynsmyndigheten bestäms utifrån inom vilket område som den enskilde bedriver huvuddelen av sin säkerhetskänsliga verksamhet.
8.7.4 Begreppet tillsynsmyndighet
Förslag: De myndigheter som utövar tillsyn ska benämnas till-
synsmyndigheter.
Våra förslag om tillsyn går bl.a. ut på att tillsynen på säkerhetsskyddsområdet får en mer traditionell inriktning, där de myndigheter som bedriver tillsynen ges ett antal nya befogenheter, däribland att besluta om åtgärdsförelägganden (se avsnitt 8.11) och sanktioner (se kapitel 9). Vi bedömer därför att samtliga myndigheter som bedriver tillsyn ska benämnas tillsynsmyndigheter. Vår bedömning i denna del innebär att begreppet säkerhetsskyddsstödjande myndighet, som förekommer i SOU 2015:25, inte bör användas.
8.7.5 Organisatoriska faktorer
Bedömning: Inom varje tillsynsmyndighet bör det som utgångs-
punkt finnas en självständig funktion där tillsyn enligt säkerhetsskyddslagen utövas.
Samtliga myndigheter som föreslås bedriva tillsyn enligt nya säkerhetsskyddslagen kommer att göra det vid sidan av annan verksamhet. Någon renodlad tillsynsmyndighet föreslås alltså inte.
Att inordna en funktion för tillsyn i en myndighet som bedriver annan verksamhet kan, men behöver inte, vara problematiskt. Statskontoret har som ett exempel tagit upp risken för att tillsynsarbetet i sådana situationer prioriteras ned till förmån för andra verksamhetsområden.
18
Statskontoret har också pekat på andra risker med en
18 Statskontorets rapport Tänk till om tillsynen s. 13.
390
Tillsyn
sådan ordning, däribland att tillsynen inte ges någon tydlig särställning gentemot övriga åtaganden och att resursfördelningen till tillsynen inte är tillräckligt transparent.
19
Med en renodlad tillsynsmyndighet har riksdag och regering förutsättningar att fullt ut styra tillsynens resurser via anslag till myndigheten (se prop. 2012/13:20 s. 94). Det innebär dock inte att riksdag och regering saknar förutsättningar för att säkra tillsynsfunktionerna deras resurser och oberoende när tillsyn bedrivs vid sidan av andra verksamheter i en myndighet. Av stor betydelse är den organisationsstyrning som bland annat består i att inrätta, dimensionera och utforma statliga myndigheter. Man kan t.ex. skapa nya självständiga enheter, vilket har en tydlig signalverkan som markering av regeringens handlingsvilja och samtidigt innebär att resurser kanaliseras mot prioriterade uppgifter (jfr SOU 2008:118 s. 64 och 65).
För att säkerställa tillsynens oberoende i förhållande till myndighetens övriga verksamhet kan det vara lämpligt att den bedrivs inom en självständig funktion. En sådan organisation har valts vid norska
Nasjonal sikkerhetsmyndighet där det finns en särskild kontrollavdel-
ning som utövar tillsyn vid sidan av myndighetens övriga verksamhet. När tillsynen bedrivs i en självständig funktion blir det enligt vår mening tydligare i vilken roll som myndigheten uppträder i förhållande till utomstående. Om det redan finns en funktion för tillsyn inom myndigheten bör den enligt vår mening även kunna inrymma tillsyn över säkerhetsskyddet. Att tillsyn utövas inom en självständig funktion bör dock inte hindra att en och samma person kan arbeta både i och utanför tillsynsfunktionen. Tvärtom kan det vara ett resurseffektivt sätt att bedriva tillsynsverksamhet. Det centrala är alltså vilken funktion i myndigheten som utövar tillsyn.
En annan aspekt på tillsynsfunktionens självständighet är tillgången till resurser. Just brist på resurser är något som tillsynsmyndigheterna återkommit till i vår kartläggning som förklaring till varför tillsyn har bedrivits i begränsad omfattning. Vi ser det som centralt för ett fungerande tillsynssystem att man genom en väl övervägd resursfördelning upprätthåller kontinuitet i tillsynsverksamheten. Utan kontinuitet kan systemets legitimitet och effektivitet ifrågasättas samtidigt som det uppstår en risk för att kompetens inte kan upprätthållas. Vi
19 Statskontorets rapport Utvärdering av tillsynsreformen. Samordnad tillsyn över socialtjänst
och hälso- och sjukvård (2012:11) s. 79.
391
Tillsyn SOU 2018:82
återkommer till frågan om tillsynsmyndigheternas resurser i konsekvensanalysen.
Att tillsyn bedrivs vid sidan av annan verksamhet inom en och samma myndighet kan innebära att tillsynsmyndigheter dels kommer att kontrollera säkerhetsskyddet hos leverantörer och andra som de slutit säkerhetsskyddsavtal med, dels att de inom ramen för tillsynsansvaret kan komma att utöva tillsyn över samma verksamhetsutövare. Ett exempel på detta är Försvarets materielverk som enligt våra förslag i avsnitt 8.7.3 kommer att få ansvar för tillsyn över enskilda verksamhetsutövare inom området försvarsmateriel, samtidigt som Försvarets materielverk i egenskap av beställare sluter ett mycket stort antal säkerhetsskyddsavtal med leverantörer. Detta exempel understryker vikten av att tillsynsfunktionen kan agera självständigt.
8.7.6 Övertagande av tillsynsansvar
Förslag: Om det finns särskilda skäl har Säkerhetspolisen och För-
svarsmakten möjlighet att ta över tillsynsansvaret över tillsynsobjekt som tillhör en annan tillsynsmyndighets ansvarsområde. När det inte längre finns skäl för övertagandet ska tillsynsansvaret återgå till tillsynsmyndigheten.
Regleringen i nya säkerhetsskyddsförordningen
I avsnitt 8.2.1 har vi redogjort för hur tillsynsansvaret är fördelat mellan tillsynsmyndigheterna enligt den nya säkerhetsskyddsförordningen. Där framgår att Säkerhetspolisen och Försvarsmakten har ansvar för tillsyn över alla myndigheter medan Affärsverket svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen och länsstyrelserna har ansvar för tillsyn över enskilda verksamhetsutövare enligt vad som närmare anges i 7 kap. 1 § nya säkerhetsskyddsförordningen. I avsnitt 8.7.3 har vi föreslagit en ny fördelning av tillsynsansvaret som i huvudsak går ut på att Säkerhetspolisen och Försvarsmakten får ansvar för tillsyn över de allra mest skyddsvärda myndigheterna, samtidigt som tillsynen över resterande verksamhetsutövare enligt nya säkerhetsskyddsförordningen fördelas mellan elva andra tillsynsmyndigheter.
392
Tillsyn
Enligt 7 kap. 2 § första stycket nya säkerhetsskyddsförordningen får Säkerhetspolisen och Försvarsmakten utöva tillsyn även inom de områden där Affärsverket svenska kraftnät, Transportstyrelsen, Postoch telestyrelsen och länsstyrelserna har ansvar för tillsyn. Säkerhetspolisen och Försvarsmakten får också, enligt bestämmelsen i paragrafens andra stycke, utöva tillsyn över leverantörer som har uppdrag för flera verksamhetsutövare om leverantörens samlade uppdrag är av stor betydelse för Sveriges säkerhet. Det framgår inte att Säkerhetspolisen och Försvarsmakten skulle ta över ansvaret för tillsyn när de utnyttjar de möjligheter som ges i 7 kap. 2 § första stycket nya säkerhetsskyddsförordningen.
Överväganden
En fråga som har aktualiserats under vårt arbete är om inte Säkerhetspolisen och Försvarsmakten bör ha möjligheten att ta över ansvaret för tillsyn över ett visst tillsynsobjekt. Det finns flera skäl för att införa en sådan möjlighet. När vi nu föreslår att tillsynsmyndigheterna ska få bl.a. undersökningsbefogenheter, möjligheter att meddela förelägganden med vite och meddela sanktioner så bör det inte råda något tvivel om vilken myndighet som är ansvarig för tillsyn av en viss verksamhetsutövare. Vi ser att 7 kap. 2 § första stycket nya säkerhetsskyddsförordningen, i dess nuvarande lydelse, skulle kunna medföra att fler än en myndighet ikläder sig rollen som tillsynsmyndighet i förhållande till samma verksamhetsutövare. Ett annat skäl som talar för möjligheten att ta över ansvaret för tillsyn är att det kan försvåra det praktiska tillsynsarbetet med fler än en tillsynsmyndighet, särskilt i ett allvarligt läge. Vi bedömer också att övertagande är att föredra framför ett gemensamt tillsynsansvar när det gäller att upprätthålla tydliga ansvarsförhållanden. Några direkta nackdelar med att införa en möjlighet att överta tillsynsansvar har vi inte identifierat. Mot bakgrund av ovanstående bedömer vi att det finns skäl för att föreslå att 7 kap. 2 § nya säkerhetsskyddsförordningen ändras på så sätt att Säkerhetspolisen och Försvarsmakten får ta över ansvaret för tillsyn.
393
Tillsyn SOU 2018:82
Innan vi går in på frågan om när tillsynsansvaret bör kunna tas över så finns det anledning att understryka att förslagen i detta avsnitt inte på något sätt förskjuter ansvaret från de föreslagna tillsynsmyndigheterna till Säkerhetspolisen och Försvarsmakten. Ansvaret för att fullt ut bedriva tillsyn i enlighet med vad som följer av författning ändras alltså inte. För att understryka denna viktiga utgångspunkt föreslår vi att det bara är Säkerhetspolisen och Försvarsmakten som ska kunna fatta beslut om att ta över ansvaret för tillsyn över ett visst tillsynsobjekt. Det hindrar dock inte att initiativet kommer från en annan tillsynsmyndighet.
Syftet med möjligheten att ta över ansvaret för tillsyn är inte att Säkerhetspolisen eller Försvarsmakten ska kunna förändra den tillsynsstruktur som vi föreslagit i avsnitt 8.7.3. I stället är syftet att det ska vara möjligt att i vissa särskilda situationer, och för ett visst tillsynsobjekt, göra avsteg från denna struktur när det finns skäl för det. Vi anser därför att ansvaret för tillsyn ska kunna tas över när det finns särskilda skäl. Vad som utgör särskilda skäl i varje given situation är naturligtvis svårt att uttömmande svara på. Ett exempel kan vara när det på grund av förändrade omständigheter är nödvändigt för att snabbt kunna agera och se till att åtgärder vidtas. Ett annat exempel kan vara att skyddsvärdet i en viss verksamhet har blivit betydligt högre och når en sådan nivå att tillsynsobjektet tillhör de allra mest skyddsvärda verksamheterna utan att det står under Säkerhetspolisens eller Försvarsmaktens tillsynsansvar. Ett tredje exempel kan vara att det inom ramen för ett samrådsförfarande inför t.ex. en utkontraktering eller överlåtelse av säkerhetskänslig verksamhet – se våra förslag i avsnitt 6.8 och 7.10 – uppmärksammas att ärendet inrymmer särskilt känsliga uppgifter. I ett sådant fall anser vi att det bör vara möjligt för Säkerhetspolisen eller Försvarsmakten att ta över tillsynsansvaret för den aktuella verksamhetsutövaren, och därmed även överta ansvaret för det pågående samrådet.
När, alternativt om, förhållandena inte längre är sådana att de kvalificeras som särskilda skäl bör ansvaret för tillsyn återgå till den myndighet som har ansvar enligt nya säkerhetsskyddsförordningen. Det bör enligt vår mening ankomma på den myndighet som beslutar om övertagande att informera såväl den ordinarie tillsynsmyndigheten som tillsynsobjektet.
394
Tillsyn
8.8 Tillsynens syfte och innehåll
Förslag: Den myndighet som regeringen bestämmer ska utöva
tillsyn över säkerhetsskyddet hos myndigheter och andra som säkerhetsskyddslagen gäller för. Den myndighet som regeringen bestämmer får utöva tillsyn hos utomstående aktörer som har ingått säkerhetsskyddsavtal och utomstående verksamhetsutövare som aktören har anlitat inom ramen för säkerhetsskyddsavtalet.
Tillsynsmyndigheten ska utöva tillsyn över att säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till lagen följs.
Vilka är tillsynsobjekten
Liksom tidigare bör fördelningen av tillsynsansvaret framgå av förordning. Dock behövs det även i fortsättningen en bestämmelse i säkerhetsskyddslagen som klargör vem som ska eller får underkastas tillsyn. Det bör av en sådan bestämmelse först och främst framgå att den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för.
I likhet med vad som gäller enligt 5 kap. 4 § nya säkerhetsskyddslagen bör tillsynen inte bara avse verksamhetsutövare som omfattas av säkerhetsskyddslagen utan också parter som har träffat säkerhetsskyddsavtal med verksamhetsutövare. Enligt våra förslag i kapitel 5 kommer säkerhetsskyddsavtal inte bara att ingås med leverantörer utan även med andra slags motparter inom ramen för t.ex. samarbeten. Enligt vår bedömning är det lämpligt att tillsynen även framgent ska kunna omfatta verksamhetsutövarens motpart i säkerhetsskyddsavtalet och att detta bör gälla oavsett om det är en leverantör eller någon annan sorts motpart.
Vidare bör tillsyn även i fortsättningen få utövas över verksamhetsutövare som den utomstående parten har anlitat inom ramen för säkerhetsskyddsavtalet. Denna möjlighet framgår i dagsläget bara av förordning, nämligen 7 kap. 1 § andra stycket nya säkerhetsskyddsförordningen. Eftersom det handlar om en befogenhet gentemot enskilda bör även möjligheten att utöva tillsyn i dessa fall framgå av säkerhetsskyddslagen. Enligt den nyss nämnda bestämmelsen är denna tillsyn begränsad till enskilda verksamhetsutövare. Vi anser inte
395
Tillsyn SOU 2018:82
någon sådan begränsning motiverad och föreslår därför att den begränsningen tas bort.
Ovanstående innebär att det är säkerhetsskyddsavtalet som alltjämt sätter ramarna för hur långt tillsynsansvaret sträcker sig. Verksamhetsutövare kan i och för sig inleda samarbeten som innebär exponering av säkerhetsskyddsklassificerade uppgifter som är begränsat hemliga, eller av säkerhetskänslig verksamhet i övrigt som är av motsvarande betydelse för Sveriges säkerhet, utan att det medför en skyldighet att ingå säkerhetsskyddsavtal. Samtidigt ger säkerhetsskyddsavtalet uttryck för en redan etablerad nivå från vilken det har ansetts nödvändigt att vidta särskilda åtgärder för att skydda det skyddsvärda. Vi menar att det är rimligt att använda denna nivå även när det gäller att bestämma hur långt tillsynen ska sträcka sig.
En följd av att tillsynen kan omfatta andra än det ursprungliga tillsynsobjektet är att en och samma aktör kan bli föremål för tillsyn både som motpart i ett säkerhetsskyddsavtal och som verksamhetsutövare. Tillsynen bör då enligt vår mening bedrivas så att verksamhetsutövaren utsätts för minsta möjliga olägenhet. Det kan inte uteslutas att det vid något enstaka tillfälle blir fråga om att verksamhetsutövaren är föremål för tillsyn från två olika myndigheter. Redan i dag finns det dock mekanismer som förebygger att så sker, t.ex. skyldigheten att anmäla avsikten att ingå säkerhetsskyddsavtal till tillsynsmyndigheten samt skyldigheten att anmäla ingångna säkerhetsskyddsavtal till Säkerhetspolisen. Vårt förslag i avsnitt 8.15 om att tillsynsmyndigheterna systematiskt ska kartlägga och dokumentera tillsynsobjekt torde också minska risken för att två tillsynsmyndigheter bedriver tillsyn över samma verksamhet. Om en sådan situation uppstår får tillsynsmyndigheterna använda sitt omdöme och lösa frågan i dialog.
Tillsynens innehåll
Enligt vår mening är det väsentligt att det för såväl tillsynsmyndigheter som tillsynsobjekt står klart vad som avses med tillsyn och hur begreppet förhåller sig till närliggande begrepp som till exempel rådgivning och vägledning. Det är vidare av stor vikt att det inte råder något tvivel om i vilka roller som tillsynsmyndigheterna uppträder. Som påtalats i våra direktiv medför införandet av sanktioner att tillsynens karaktär kommer att behöva förändras och inriktas
396
Tillsyn
mot tillsyn i mer traditionell mening. Detsamma gäller om man, som vi föreslår längre fram i det här kapitlet, ger tillsynsmyndigheterna nya tillsynsbefogenheter av annat slag.
I 5 kap. 4 § nya säkerhetsskyddslagen anges att den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för. Vidare anges det att den myndighet som regeringen bestämmer får utöva tillsyn hos leverantörer som har ingått säkerhetsskyddsavtal.
En traditionellt inriktad tillsyn tar sikte på att tillsynsobjekten lever upp till de krav som följer av det relevanta regelverket. Så är tillsynsuppgiften definierad i exempelvis NIS-lagen. Enligt vår bedömning bör tillsyn enligt säkerhetsskyddslagen definieras på samma sätt. Det bör alltså framgå att tillsynsmyndighetens uppgift är att utöva tillsyn över att säkerhetsskyddslagen och föreskrifter som har meddelats i anslutning till lagen följs. En sådan formulering innebär att man klargör tillsynsmyndigheternas uppgift på ett ändamålsenligt sätt.
Det bör slutligen framhållas att tillsynen bör inriktas mot faktisk kravuppfyllelse och inte bara formell kravuppfyllelse. Med detta menas att det inte är tillräckligt att rutinmässigt kontrollera att verksamhetsutövaren har agerat utifrån de skyldigheter som följer av lagstiftningen, t.ex. att man har gjort en säkerhetsskyddsanalys. Tillsynen måste också avse frågan om detta har gjorts på ett tillräckligt bra sätt, och att säkerhetsskyddet verkligen har anpassats till förutsättningarna i den enskilda verksamheten så att ett väl anpassat säkerhetsskydd uppnås (se prop. 2017/18:89 s. 37).
8.9 Handläggningen av tillsynsärenden
Förslag: För Säkerhetspolisen gäller inte 3 § förvaltningslagen
(2017:900) vid handläggning av tillsynsärenden.
Bedömning: Bestämmelserna i 10 kap. 3 § OSL tillgodoser be-
hovet av att skydda känsliga uppgifter i tillsynsärenden, varför det saknas skäl att inskränka reglerna om partsinsyn och kommunikation. Utrymmet för att utelämna beslutsmotiveringar är tillräckligt för att skydda känsliga uppgifter.
397
Tillsyn SOU 2018:82
Vi har i avsnitt 6.8.10 fört ingående resonemang om vad som bör gälla i fråga om tillsynsmyndigheternas handläggning av samrådsärenden vid utkontraktering och upplåtelse av säkerhetskänslig verksamhet och vissa andra förfaranden. Det som sagts där är i allt väsentligt relevant även i fråga om handläggning av tillsynsärenden. Vi hänvisar därför till de överväganden och bedömningar som gjorts i det avsnittet i följande avseenden.
• Förvaltningslagen (2017:900) gäller vid handläggningen och bör även gälla för Säkerhetspolisens handläggning. Därför bör undantagsbestämmelsen för brottsbekämpande verksamhet i 3 § förvaltningslagen inte gälla för Säkerhetspolisen.
• Det finns inte behov av några undantag från reglerna om partsinsyn och kommunikation.
• Det behöver inte göras något undantag i fråga om skyldigheten att motivera tillsynsmyndighetens beslut.
8.10 Tillsynsmyndigheternas undersökningsbefogenheter
8.10.1 Inledning och utgångspunkter för våra överväganden
Som utvecklats i vår kartläggning av utvecklingsbehovet saknar tillsynsmyndigheterna i dag de befogenheter som behövs för att kunna bedriva en effektiv tillsyn. Ett effektivt och legitimt system för tillsyn kan enligt vår mening inte bygga på antagandet att det alltid finns samförstånd mellan tillsynsmyndigheten och tillsynsobjektet. Författningsreglerade befogenheter får också anses ha den fördelen att de tydliggör ramarna för tillsynsverksamheten, vilket är än mer betydelsefullt när den nya lagstiftningen kan förväntas omfatta fler enskilda verksamhetsutövare (se prop. 2017/18:89 s. 133).
Som vi har utvecklat i andra sammanhang angränsar regelverket om säkerhetsskydd till NIS-lagen. Det finns i den lagen bestämmelser som ger tillsynsmyndigheterna flera viktiga undersökningsbefogenheter, däribland tillträdesrätt och en rätt att kräva upplysningar av tillsynsobjektet. Det handlar om ny lagstiftning och ett närliggande område. Bestämmelserna är enligt vår mening väl ägnade att möjlig-
398
Tillsyn
göra en effektiv tillsyn. En utgångspunkt för våra överväganden är därför att motsvarande befogenheter bör finnas för de myndigheter som utövar tillsyn enligt säkerhetsskyddslagen, om inte några särskilda skäl talar emot det. I den mån det finns ett behov av att anpassa reglerna till de särskilda förhållanden som gäller i fråga om säkerhetsskydd ska det givetvis ske. Som tidigare sagts är också en utgångspunkt det som sägs i skr. 2009/10:79.
8.10.2 Tillträdesrätt för tillsynsmyndigheterna
Förslag: Tillsynsmyndigheten har rätt att i den omfattning det
behövs för tillsynen få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.
Enligt NIS-lagen ges tillsynsmyndigheterna rätt att i den utsträckning det behövs få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, där verksamhet som omfattas av lagstiftningen bedrivs. Bestämmelser av detta slag anser vi vara en förutsättning för att det ska kunna bedrivas en effektiv tillsyn enligt säkerhetsskyddslagen. Vi föreslår därför att sådana bestämmelser införs.
Tillträdesrätt bör gälla alla lokaler m.m. där det bedrivs verksamhet som omfattas av säkerhetsskyddslagen. Dessutom omfattar tillsynsansvaret även leverantörer och andra utomstående som verksamhetsutövaren har ingått säkerhetsskyddsavtal, vilket vi utvecklar ovan under rubriken Vilka är tillsynsobjekten i avsnitt 8.8. Under samma rubrik anför vi att tillsyn även fortsättningsvis bör få utövas över verksamhetsutövare som den utomstående parten har anlitat inom ramen för säkerhetsskyddsavtalet. I den mån tillsyn ska bedrivas hos sådana aktörer, bör tillträdesrätten gälla även där. Av integritetsskäl bör tillträdesrätten inte gälla bostäder.
För att tillsyn ska kunna bedrivas på ett effektivt sätt är det vidare nödvändigt att tillsynsmyndigheten får vidta vissa undersökningar av de lokaler som de får tillträde till och till det som påträffas där. Alla sådana undersökningar måste dock givetvis begränsas till det som är nödvändigt för att tillsynen ska kunna genomföras och måste alltså vara inriktade enbart på sådant som har relevans för säkerhets-
399
Tillsyn SOU 2018:82
skyddet. Det kan då vara av värde att exempelvis undersöka säkerhetsnivån i de lokaler där säkerhetskänslig verksamhet bedrivs, och de it-system där säkerhetsskyddsklassificerade uppgifter behandlas.
Tillsynsmyndigheterna bör inte ges befogenhet att använda tvångsåtgärder, eftersom något sådant inte ligger inom deras befogenheter.
Bestämmelsen om tillträdesrätt är betungande för enskilda, kommuner och landsting, varför bestämmelserna bör ges i lag. Bestämmelsen bör därför införas i säkerhetsskyddslagen.
8.10.3 Verksamhetsutövarens uppgiftsskyldighet
Förslag: Den som står under tillsyn ska på begäran tillhandahålla
tillsynsmyndigheten den information som behövs för tillsynen.
Bedömning: En verksamhet inom säkerhetsskyddslagens tillämp-
ningsområde och som omfattas av OSL bör utan hinder av sekretess kunna fullfölja sin uppgiftsskyldighet i förhållande till tillsynsmyndigheten.
Vi bedömer att förslaget att ge tillsynsmyndigheten tillträde till områden, lokaler och andra utrymmen bör kompletteras med en skyldighet för den som står under tillsyn att lämna den information som behövs för tillsyn över verksamheten. Att enbart ge tillsynsmyndigheten rätt till tillträde kan inte anses tillräckligt för att den ska kunna bedriva en effektiv och ändamålsenlig tillsyn. Uppgiftsskyldigheten bör gälla alla som står under tillsyn. Detta omfattar inte bara den som själv bedriver verksamhet enligt säkerhetsskyddslagen, utan också aktörer som ingått säkerhetsskyddsavtal med en sådan verksamhetsutövare (se våra förslag i avsnitt 8.8 och, i fråga om omfattningen av skyldigheten att ingå säkerhetsskyddsavtal, avsnitt 5.4).
Bestämmelser om skyldighet att lämna information är betungande för enskilda och kommuner, varför de måste ges i lag. En bestämmelse om detta bör därför tas in i säkerhetsskyddslagen.
400
Tillsyn
Sekretessfrågor
Enligt 8 kap. 1 § OSL får uppgifter för vilka sekretess gäller inte röjas för andra myndigheter, om inte annat framgår av offentlighetsoch sekretesslagen eller av lag eller förordning till vilken denna lag hänvisar. I 10 kap. 17 § OSL anges att sekretess inte hindrar att en uppgift lämnas till en myndighet, om uppgiften behövs där för tillsyn över eller revision hos den myndighet där uppgiften förekommer. I förarbetena till motsvarande bestämmelse i den tidigare sekretesslagen uttalades att den myndighet där en sekretessbelagd uppgift förekommer i regel bör kunna utgå från att den myndighet som begär att få uppgiften också behöver den i sin verksamhet (se proposition 1979/80:2 med förslag till sekretesslag m.m. del A s. 323 och 324).
I den mån uppgifter som efterfrågas är sekretessbelagda bör en verksamhet inom säkerhetsskyddslagens tillämpningsområde som omfattas av OSL därmed kunna fullfölja sin uppgiftsskyldighet i förhållande till tillsynsmyndigheten utan hinder av sekretess.
8.10.4 Förelägganden och handräckning
Förslag: Tillsynsmyndigheten får förelägga den som står under
tillsyn att tillhandahålla information och att ge tillträde till lokaler och liknande. Ett sådant föreläggande får förenas med vite. Tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder. Vid handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.
I föregående avsnitt har vi föreslagit att tillsynsmyndigheten ska ha rätt att få tillgång till viss information och tillträdesrätt till lokaler och liknande. I linje med de förslagen bör tillsynsmyndigheten även kunna meddela de förelägganden som behövs för att förmå tillsynsobjekt som inte samarbetar att tillhandahålla den information och ge det tillträde som behövs för tillsynen. Ett beslut om föreläggande bör, för att bli tillräckligt verkningsfullt, kunna förenas med vite (se vidare om vite i avsnitt 8.11).
401
Tillsyn SOU 2018:82
Om ett tillsynsobjekt ändå vägrar att ge tillsynsmyndigheten information eller tillträde till en lokal kan tvångsåtgärder behöva användas. Som vi har konstaterat i tidigare avsnitt ligger det inte inom tillsynsmyndighetens befogenheter att vidta sådana åtgärder. Det kan därför finnas behov av biträde från en myndighet som har befogenhet att använda tvångsåtgärder. Det finns inte anledning att anta att det kommer finnas risk för hot eller handgripligheter i samband med tillsynen enligt säkerhetsskyddslagen. De eventuella hinder som kan uppstå får i stället antas vara av fysiskt art. För att tillsynsmyndigheten i en sådan situation ska kunna genomföra sin tillsyn bör myndigheten kunna begära handräckning av Kronofogdemyndigheten. Vid sådan handräckning bör bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande gälla.
8.11 Åtgärdsförelägganden
Förslag: Tillsynsmyndigheten får besluta de förelägganden som
behövs för att de som omfattas av tillsyn enligt denna lag ska fullgöra skyldigheter enligt lagen eller föreskrifter som har meddelats i anslutning till den. Ett föreläggande får förenas med vite.
Tillsynsmyndigheten bör kunna meddela åtgärdsförelägganden
Regeringen har i skrivelsen En tydlig, rättssäker och effektiv tillsyn uttalat att ett tillsynsorgan bör ha en möjlighet att besluta om förelägganden i enskilda fall (skr. 2009/10:79 s. 44). Möjligheten att utforma föreläggandet för att kunna styra beteendet hos den objektsansvarige bör enligt dessa uttalanden vara vitt och i princip ansluta till tillsynens omfattning. Föreläggandets utformning skapar enligt regeringen möjligheter för tillsynsorganet att anpassa ett ingripande efter vad som är behövligt beroende på vilket område det handlar om. Det anges i skrivelsen att ett åtgärdsföreläggande bör kunna förenas med vite.
När en tillsynsmyndighet konstaterar att det förekommer mindre allvarliga brister i säkerhetsskyddet eller säkerhetsskyddsarbetet hos en verksamhetsutövare kan det i vissa fall vara tillräckligt att tillsyns-
402
Tillsyn
myndigheten påpekar bristerna och att verksamhetsutövaren frivilligt åtar sig att åtgärda dem. Vid mer allvarliga brister behövs det dock, i enlighet med de tidigare redovisade uttalandena från regeringen, en möjlighet att meddela formella åtgärdsförelägganden som kan förenas med vite. Sådana förelägganden kan t.ex. behövas när en verksamhetsutövare inte har gjort någon säkerhetsskyddsanalys eller analysen har allvarliga brister. Utan en tillräckligt bra säkerhetsskyddsanalys finns det nämligen inte något bra underlag för ett ställningstagande till vilka säkerhetsskyddsåtgärder som behövs. Avsaknaden av en grundlig analys innebär också kraftigt försämrade förutsättningar för att bedöma om en planerad åtgärd, t.ex. en utkontraktering, är lämplig och i så fall vilka krav som måste ställas på säkerhetsskyddet hos leverantören. Möjligheten att meddela åtgärdsförelägganden bör dock inte begränsas till dessa situationer. I stället bör det finnas en sådan möjlighet vid alla slags åsidosättanden av reglerna i säkerhetsskyddslagen och de föreskrifter som har meddelats med stöd av den lagen.
För att införandet av förelägganden ska få önskad effekt är det enligt vår mening nödvändigt att åtgärdsförelägganden inte bara kan riktas mot den som är verksamhetsutövare enligt säkerhetsskyddslagen, utan mot alla som omfattas av tillsyn enligt lagen i enlighet med resonemanget i avsnitt 8.8. Detta bör framgå uttryckligen.
Vitet
När vite föreläggs, ska det enligt 3 § lagen (1985:206) om viten (viteslagen) fastställas till ett belopp som med hänsyn till vad som är känt om adressatens ekonomiska förhållanden och till omständigheterna i övrigt kan antas förmå honom att följa det föreläggande som är förenat med vitet. Med omständigheterna i övrigt avses bl.a. kostnaderna för föreläggandets fullgörande och omfattningen av de åtgärder som krävs. Beloppet bör vidare bestämmas med hänsyn till hur angeläget det är att föreläggandet följs. Om föreläggandet avser att tillgodose ett betydelsefullt samhällsintresse kan ett högre belopp vara motiverat. Myndigheterna kan emellertid inom ramen för 3 § viteslagen bestämma hur högt eller lågt belopp som helst.
Vitet ska som huvudregel fastställas till ett bestämt belopp. Om det är lämpligt med hänsyn till omständigheterna, får vite dock enligt 4 § viteslagen föreläggas som löpande vite. Vitet bestäms då till ett
403
Tillsyn SOU 2018:82
visst belopp för varje tidsperiod av viss längd under vilken föreläggandet inte har följts eller, om föreläggandet avser en återkommande förpliktelse, för varje gång adressaten underlåter att fullgöra denna.
Om ett föreläggande inte följs kan myndigheten behöva upprepa föreläggandet. Det kan i dessa fall vara lämpligt att höja vitesbeloppet.
I 28 § NIS-lagen finns det regler om vitessanktionerade åtgärdsförelägganden för vissa underlåtenheter att leva upp till de krav som ställs i lagen och de föreskrifter som meddelats med stöd av lagen. Liksom säkerhetsskyddslagen är den nyss nämnda lagen tillämplig på såväl offentliga aktörer, såsom statliga myndigheter, och på enskilda aktörer. När det gäller vitesförelägganden har det i NIS-lagen inte gjorts något undantag för staten eller andra offentliga aktörer. Bedömningen har alltså varit att det på det området är godtagbart med vite i förhållande till statliga myndigheter och kommuner. Vi ser ingen anledning att göra någon annan bedömning när det gäller det närliggande området säkerhetsskydd.
8.12 Omedelbar verkställighet och inhibition
Förslag: Tillsynsmyndigheten får bestämma att ett beslut om före-
läggande ska gälla omedelbart.
Bedömning: Bestämmelser om inhibition finns i förvaltnings-
processlagen (1971:291) och behöver inte tas in i den nya lagen.
Om tillsynsmyndigheten har konstaterat att det finns skäl för att ingripa genom beslut om föreläggande finns det ofta ett behov av att beslutet blir gällande genast. Det kan då vara nödvändigt att beslutet verkställs omedelbart. Samma sak gäller beträffande tillsynsmyndighetens beslut att förelägga den som ansvarar för en säkerhetskänslig verksamhet att lämna tillträde till lokaler och att lämna upplysningar, handlingar och liknande för att tillsynen ska kunna genomföras. I sådana fall kan det vara angeläget att beslutet inte förhalas genom ett överklagande. Mot denna bakgrund bör tillsynsmyndigheten ha möjlighet att bestämma att dess beslut om föreläggande ska gälla omedelbart. En bestämmelse om detta bör därför införas i säkerhetsskyddslagen.
404
Tillsyn
En domstol som ska pröva ett överklagande av ett förvaltningsbeslut som gäller omedelbart kan förordna att det överklagade beslutet tills vidare inte ska gälla (s.k. inhibition). Möjligheten till inhibition innebär att risken för att en aktör drabbas av skada på grund av ett felaktigt beslut av en tillsynsmyndighet minimeras. Bestämmelser om inhibition finns i 28 § förvaltningsprocesslagen (1971:291) och behöver inte tas in i säkerhetsskyddslagen.
8.13 Överklagande
Förslag: Tillsynsmyndighetens beslut om föreläggande enligt säker-
hetsskyddslagen får överklagas till Förvaltningsrätten i Stockholm. Prövningstillstånd ska krävas vid överklagande till kammarrätten. Vid överklagande är tillsynsmyndigheten motpart.
En tillsynsmyndighets beslut om åtgärdsföreläggande och om föreläggande att möjliggöra tillsyn måste kunna överklagas. Eftersom det är fråga om ett förvaltningsbeslut bör överklagande ske till allmän förvaltningsdomstol. Det är inte troligt att överklagande kommer att ske i någon större omfattning. Med hänsyn till det, till frågornas ytterst känsliga natur och till att det finns ett tydligt behov av specialisering för den som ska hantera dessa mål, bör målen – till skillnad från vad som gäller enligt NIS-lagen – koncentreras till en domstol. I enlighet med våra ställningstaganden i avsnitt 6.10.3 och 7.12 kan detta lämpligen kan ske till Förvaltningsrätten i Stockholm, som redan handhar ett stort antal stora och komplicerade mål på likartade områden, däribland mål som rör lagen (2003:389) om elektronisk kommunikation. Prövningstillstånd bör krävas vid överklagande till kammarrätten.
Formerna för överklagande av tillsynsmyndighetens beslut, vilken överklagandefrist som ska gälla, vem som har talerätt m.m., bör i övrigt inte avvika från förvaltningslagens bestämmelser. Vi föreslår därför inte några särskilda bestämmelser om detta. Av tydlighetsskäl bör det dock framgå av bestämmelsen att tillsynsmyndigheten har ställning som motpart i ett mål hos domstolen som gäller överklagande av tillsynsmyndighetens beslut.
405
Tillsyn SOU 2018:82
8.14 En sanktionerad anmälningsplikt
Förslag: Den som bedriver säkerhetskänslig verksamhet ska utan
dröjsmål anmäla detta till tillsynsmyndigheten. Detsamma gäller när den säkerhetskänsliga verksamheten upphör.
Utan en samlad bild över den säkerhetskänsliga verksamhet som bedrivs inom respektive tillsynsområde är det enligt vår mening inte möjligt för tillsynsmyndigheten att planera och bedriva en effektiv tillsyn. Detsamma gäller för samordningsmyndigheternas möjlighet att utföra sitt uppdrag. Det har dock i olika sammanhang konstaterats att det kan vara förenat med vissa svårigheter att identifiera vilka tillsynsobjekt som finns inom säkerhetsskyddslagens tillämpningsområde. Så kan t.ex. vara fallet inom områden där aktörer bedriver verksamhet som inte är tillståndspliktig och där det inte bedrivs någon annan form av tillsyn. Som vi tidigare konstaterat känner många tillsynsmyndigheter inte till hur många tillsynsobjekt som de har ansvar för. I detta avsnitt tittar vi därför närmare på vilka uppgifter om tillsynsobjekt som kommer tillsynsmyndigheterna till del. Vi överväger också om det finns behov av ytterligare åtgärder som syftar till att ge tillsynsmyndigheten en samlad bild över sitt uppdrag.
Enligt 2 kap. 5 § nya säkerhetsskyddsförordningen är enskilda verksamhetsutövare skyldiga att anmäla till respektive tillsynsmyndighet när de avser att ingå ett säkerhetsskyddsavtal. Av bestämmelsen framgår att ett av syftena med denna skyldighet är att utgöra ett underlag för arbetet med tillsyn av säkerhetsskydd. Det finns även en skyldighet enligt 2 kap. 7 § förordningen för alla som ingår ett säkerhetsskyddsavtal att anmäla det till Säkerhetspolisen och även att anmäla när avtalet upphör att gälla. Den reglering som nu nämnts handlar alltså om ingående av säkerhetsskyddsavtal och träffar inte verksamhetsutövare som bedriver säkerhetskänslig verksamhet utan att ingå säkerhetsskyddsavtal.
I avsnitt 6.4.2 har vi konstaterat att det förmodligen finns verksamheter av stor betydelse för Sveriges säkerhet som överhuvudtaget inte tillämpar reglerna om säkerhetsskydd. Detta är givetvis mycket allvarligt ur ett säkerhetsskyddsperspektiv. Den verksamhetsutövare som inte är medveten om att den verksamhet man bedriver omfattas av säkerhetsskyddsregleringen kommer naturligtvis inte heller att följa
406
Tillsyn
denna. Detta kan få vittgående konsekvenser för säkerhetsskyddet. En annan konsekvens är att det försvårar för tillsynsmyndigheten att ha en samlad bild över sitt ansvarsområde och att fatta de beslut som är nödvändiga för att uppnå ett väl anpassat säkerhetsskydd. Vi anser därför att det finns behov av åtgärder som ger tillsynsmyndigheten bättre förutsättningar för att kunna skaffa sig och upprätthålla en samlad bild över den säkerhetskänsliga verksamhet som bedrivs inom respektive ansvarsområde.
Vi har med anledning av det anförda övervägt om det kan vara lämpligt att införa en skyldighet för alla som till någon del bedriver säkerhetskänslig verksamhet att anmäla detta till exempelvis en tillsynsmyndighet. En sådan skyldighet skulle ge tillsynsmyndigheten bättre förutsättningar att få en samlad bild över tillsynsområdet samtidigt som det skulle utgöra en förebyggande åtgärd som motverkar att aktörer som bedriver säkerhetskänslig verksamhet inte tillämpar säkerhetsskyddslagen. Om en anmälningsskyldighet förenas med någon form av sanktion för den som inte uppfyller sin skyldighet skulle det skapas ett särskilt incitament för verksamhetsutövare att noga överväga om den verksamhet man bedriver helt eller delvis är säkerhetskänslig. En sådan skyldighet kan ha ett särskilt värde eftersom den nya säkerhetsskyddsregleringen på ett tydligare sätt omfattar även enskilda verksamhetsutövare.
Arbetet med säkerhetsskydd måste i princip föregås av ett aktivt ställningstagande från verksamhetsutövaren till frågan om man till någon del bedriver säkerhetskänslig verksamhet (prop. 2017/18:89 s. 37). Anmälningsplikten och den kopplade sanktionen skulle till att börja med kunna fungera som en väckarklocka hos verksamhetsutövaren, som tvingas att analysera om verksamheten omfattas av säkerhetsskyddslagen. Detta kan i sin tur medföra att man påbörjar det säkerhetsskyddsarbete som krävs enligt lagstiftningen, däribland framtagande av en säkerhetsskyddsanalys, där det bl.a. framgår vilka skyddsvärden som finns i verksamheten. Vi bedömer att införande av en sanktionerad anmälningsplikt därigenom kan komma att leda till att säkerhetsskyddet får en mer framskjuten roll såväl i den egna organisationen som i samband med utkontrakteringar och andra förfaranden där utomstående involveras i den säkerhetskänsliga verksamheten.
407
Tillsyn SOU 2018:82
Som redan nämnts skulle en anmälningsplikt också ha den fördelen att tillsynsmyndigheten får en bättre överblick över vilka verksamhetsutövare som bedriver säkerhetskänslig verksamhet. Det skulle därmed bli lättare för tillsynsmyndigheterna att ringa in vilka tillsynsobjekt som finns och att planera och prioritera i sin tillsynsverksamhet.
Ett annat argument som talar för införande av en sanktionerad anmälningsplikt är att en sådan finns i NIS-lagen. Enligt 23 § i NISlagen ska leverantörer av samhällsviktiga tjänster utan dröjsmål anmäla sig till tillsynsmyndigheten. Om en leverantör underlåter att göra en anmälan till tillsynsmyndigheten ska tillsynsmyndigheten ta ut en sanktionsavgift (29 § samma lag). NIS-direktivet påverkar inte medlemsstaternas åtgärder för att skydda nationell säkerhet. NISlagen gäller därför inte för verksamhet som omfattas av krav på säkerhetsskydd enligt säkerhetsskyddslagen (1 kap. 8 § den nyss nämnda lagen). Det framstår dock som inkonsekvent och otillfredsställande att det inte finns en sanktionerad anmälningsplikt för den som bedriver verksamhet med betydelse för Sveriges säkerhet när en sådan anmälningsplikt finns för aktörer som omfattas av NIS-lagen. Även detta talar för att man inför en sanktionerad anmälningsplikt för den som bedriver säkerhetskänslig verksamhet.
Ett skäl som skulle kunna tala mot att det införs en sanktionerad anmälningsplikt är att det kan vara förhållandevis svårt för en verksamhetsutövare, och i synnerhet en enskild sådan, att ta ställning till om man omfattas av säkerhetsskyddslagen eller inte. Emellertid förutsätter vi att det kommer att tas fram skriftliga vägledningar som kan vara till hjälp vid denna bedömning, och att tillsynsmyndigheterna även på annat sätt bistår med vägledning i fråga om hur man bör gå till väga vid sådana bedömningar. Det är också möjligt att utforma sanktionssystemet på ett sådant sätt att man kan beakta om en felbedömning varit ursäktlig (se våra överväganden i avsnitt 9.12.
Med hänsyn till detta och till de starka skäl som talar för en anmälningsplikt, föreslår vi att en sådan anmälningsplikt införs i syfte dels att skapa incitament för verksamhetsutövare att analysera om de omfattas av säkerhetsskyddslagstiftningen, dels att underlätta identifieringen av tillsynsobjekt så att tillsynsmyndigheterna kan utföra sitt tillsynsuppdrag på ett fullgott sätt. En regel om anmälningsplikt bör införas i nya säkerhetsskyddslagen och bör gå ut på att en anmälan ska ske utan dröjsmål. Det är naturligt att anmälan ska göras
408
Tillsyn
till den myndighet som ansvarar för tillsynen inom det område där verksamhetsutövaren är aktiv (se avsnitt 8.7.3).
En anslutande fråga är om det finns skäl för att komplettera anmälningsplikten med en skyldighet att anmäla när verksamheten inte längre är säkerhetskänslig. Enligt vår bedömning finns det starka skäl för ett sådant förslag. För det första kan det motverka att enskilda utsätts för olägenheten att säkerhetsprövningar pågår längre än vad som är motiverat. Det följer nämligen av 3 kap. 3 och 14 §§ nya säkerhetsskyddslagen att en säkerhetsprövning pågår så länge den enskilde deltar i den säkerhetskänsliga verksamheten. Under denna tid ska uppgifter löpande hämtas in om den enskilde. För det andra skulle en skyldighet att anmäla när verksamheten inte längre är säkerhetskänslig förbättra förutsättningarna för tillsynsmyndigheten att ha en aktuell bild över den säkerhetskänsliga verksamhet som bedrivs inom respektive tillsynsområde. Slutligen skulle en sådan skyldighet motverka att resurser läggs på omotiverade åtgärder, både vad gäller tillsyn och säkerhetsprövning.
De skäl som vi har redovisat för en skyldighet att anmäla när verksamheten inte längre är säkerhetskänslig är enligt vår mening så starka att skyldigheten bör sanktioneras. En sådan lösning framstår också som konsekvent med vårt förslag att sanktionera skyldigheten för verksamhetsutövare att utan dröjsmål anmäla att säkerhetskänslig verksamhet bedrivs.
Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela närmare föreskrifter om vilken information som en anmälan ska innehålla liksom föreskrifter om de närmare formerna för fullgörandet av anmälningsskyldigheten. En upplysningsbestämmelse om detta finns i 5 kap. 5 § lagen.
Vi återkommer till frågan om sanktioner i kapitel 9.
8.15 Systematisk kartläggning och dokumentation av tillsynsobjekt
Förslag: Tillsynsmyndigheten ska genom systematisk kartläggning
identifiera de verksamheter inom tillsynsmyndighetens ansvarsområde som omfattas av säkerhetsskyddslagen. Kartläggningen ska genomföras regelbundet.
409
Tillsyn SOU 2018:82
Tillsynsmyndigheten ska ha en aktuell förteckning över myndighetens tillsynsobjekt.
I fråga om Säkerhetspolisen och Försvarsmakten ska skyldigheten att kartlägga och hålla en förteckning över tillsynsobjekt enbart gälla verksamhetsutövare som man övertagit tillsynen över.
Frågan är om anmälningsskyldigheten som vi föreslår ovan och de nämnda bestämmelserna i säkerhetsskyddsförordningen sammantagna är tillräckliga för att det ska finnas en sådan överblick av tillsynsobjekten som behövs. När det gäller Försvarsmakten och Säkerhetspolisen anser vi det, eftersom det framgår av säkerhetsskyddsförordningen vilka verksamheter de utövar tillsyn över, med undantag för verksamhetsutövare som de övertaget tillsynen över enligt våra förslag i avsnitt 8.7.6.
När det gäller de övriga tillsynsmyndigheterna anser vi att det är mer tveksamt. Det finns enligt vår mening en risk att det kan bedrivas verksamheter inom säkerhetsskyddslagens tillämpningsområde som inte blir föremål för tillsyn. Risken accentueras av det faktum att den nya säkerhetsskyddslagens tillämpningsområde utökas något, vilket kan innebära att det i vart fall under en övergångsperiod kan finns ett större mått av osäkerhet om vilka verksamheter som omfattas. Detta talar för att man ålägger tillsynsmyndigheterna att systematiskt kartlägga och dokumentera de verksamheter inom respektive område som omfattas av säkerhetsskyddslagen.
För att en kartläggning ska vara meningsfull måste den rimligtvis resultera i en förteckning över tillsynsobjekten. Förteckningar över tillsynsobjekt är i sig mycket skyddsvärda, vilket talar emot införande av en kartläggningsskyldighet. Emellertid anser vi att kartläggning, och förteckning av det som kommer fram, är en nödvändig förutsättning för att tillsyn ska kunna bedrivas på ett tillräckligt effektivt sätt. Det framstår också som nödvändigt för att man ska kunna upprätthålla den samlade bilden över säkerhetsskyddet. Vi menar vidare de risker som sådana förteckningar för med sig är möjliga att hantera.
Att kartläggningen ska bedrivas systematiskt innebär att arbetet inte enbart ska vara styrt av externa händelser utan att det ska genomföras regelbundet och företrädesvis följa en förutbestämd rutin. Grundläggande bestämmelser om kartläggningsskyldigheten kan meddelas i förordning. Närmare föreskrifter om hur arbetet med systematisk
410
Tillsyn
kartläggning och dokumentation av tillsynsobjekt ska gå till kan meddelas på föreskriftsnivå. Vi föreslår att det införs en ny paragraf efter 7 kap. 3 § nya säkerhetsskyddsförordningen.
8.16 Tillsyn bör ske med viss regelbundenhet
Bedömning: I samordningsmyndigheternas föreskrifter om till-
syn bör det anges med vilken regelbundenhet som tillsyn ska bedrivas.
Vår kartläggning visar att tillsyn över säkerhetsskyddet bedrivs i relativt begränsad omfattning och att vissa tillsynsmyndigheter inte har bedrivit någon tillsyn alls. Detta har vi har pekat ut som ett utvecklingsbehov.
Varken enligt den gamla eller nya säkerhetsskyddsregleringen finns några bestämmelser om i vilken omfattning tillsyn bör utföras. För att kunna tala om att efterlevnaden av säkerhetsskyddsregleringen verkligen kontrolleras bör det enligt vår mening vara fråga om någon form av regelbundenhet. Eftersom det bedrivs säkerhetskänslig verksamhet inom rad olika områden bör det dock finnas möjlighet att anpassa frekvensen för tillsyn till de förutsättningar som råder inom respektive område. Regler om hur ofta tillsyn ska bedrivas bör lämpligen ges i samordningsmyndigheternas föreskrifter om tillsyn.
8.17 Tillsyn bör inte förenas med rådgivning
Förslag: Tillsynsmyndigheterna ska inom sina respektive ansvars-
områden lämna vägledning om säkerhetsskydd.
Bedömning: Utövande av tillsyn är oförenligt med rådgivning. Till-
synsmyndigheterna bör därför inte lämna råd till verksamheter som omfattas av säkerhetsskyddslagen.
Det finns ett behov av att klargöra förhållandet mellan tillsyn, rådgivning och vägledning. Enligt vad som utvecklas i avsnitt 8.4.2 anser vi att rådgivning handlar om att lämna rekommendationer eller
411
Tillsyn SOU 2018:82
handlingsalternativ i ett specifikt ärende. Råd som lämnas besvarar därmed i första hand vad som ska göras i det specifika fallet. Däremot är vägledning inriktad mot allmän information. Vägledning som lämnas besvarar därmed i första hand på vilket sätt en viss fråga kan hanteras. I säkerhetsskyddshänseende kan det exempelvis röra metodfrågor och tolkning av gällande regelsystem.
Vår slutsats är att den kombinerade rollen som rådgivande myndighet och tillsynsmyndighet visserligen kan ha fördelar, exempelvis när det gäller samordningsvinster. Övervägande skäl talar enligt vår mening ändå för att rollerna inte bör förenas inom säkerhetsskyddet. Vår huvudinvändning är att det finns en risk för att de dubbla rollerna underminerar syftet med tillsynen som en fristående granskning och att verksamhetens ansvar för dess bedömningar och skyddsåtgärder förskjuts i riktning mot tillsynsmyndigheterna. Behovet av att renodla rollerna blir än viktigare vid ett införande av sanktioner enligt våra förslag i kapitel 9 eftersom dessa går ut på att det är tillsynsmyndigheterna som ska besluta om sanktioner.
Bestämmelser som går ut på att tillsynsmyndigheterna ska lämna råd till tillsynsobjekten finns i 7 kap. 11 § nya säkerhetsskyddsförordningen. Med hänsyn till våra överväganden i detta avsnitt föreslår vi att bestämmelsen ändras så att det där anges att tillsynsmyndigheterna ska lämna vägledning. Detta innebär att även kapitelrubriken bör ändras. Vi anser vidare att skyldigheten att lämna vägledning inte bara bör omfatta enskilda utan också offentliga aktörer.
8.18 Ett nytt kapitel i säkerhetsskyddslagen
Förslag: Bestämmelserna om tillsyn införs i ett nytt 4 a kap. i nya
säkerhetsskyddslagen. Bestämmelserna om ingripande och sanktioner förs in i ett nytt 4 b kap. samma lag.
I detta kapitel föreslår vi ett helt nytt regelverk om tillsyn, som bl.a. innebär undersökningsbefogenheter för tillsynsmyndigheterna. Bestämmelser med det innehåll som vi föreslår passar inte in i något av de befintliga kapitlen i nya säkerhetsskyddslagen. Vi föreslår därför att det införs ett nytt 4 a § kap. i lagen med rubriken Tillsyn. Bestämmelserna om ingripanden i form av åtgärdsförelägganden och om sanktionsavgift (se kapitel 9) passar inte heller in i något befintligt kapitel.
412
Tillsyn
Det bör därför införas ett nytt 4 b § med rubriken Ingripande och
sanktioner.
413
9 Sanktioner
9.1 Uppdraget
Bakgrunden till uppdraget
I den gällande säkerhetsskyddslagen (1996:627), i det följande kallad
gamla säkerhetsskyddslagen, finns det inte några sanktioner som kan
användas mot den som åsidosätter sina säkerhetsskyddsåtaganden. Samma sak gäller enligt den nya säkerhetsskyddslagen (2018:585), som träder i kraft den 1 april 2019 (i det följande kallad nya säker-
hetsskyddslagen). Några förslag om sanktioner lämnades inte heller i
betänkandet En ny säkerhetsskyddslag (SOU 2015:25). Regeringen har, bl.a. mot bakgrund av att flera remissinstanser kritiserade avsaknaden av sådana förslag, bedömt att det finns ett behov av att utreda hur ett system med sanktioner i säkerhetsskyddsregleringen skulle kunna utformas. Vi har därför i uppdrag att lämna förslag till ett sådant sanktionssystem.
Vårt uppdrag
Enligt direktiven ska vi
• analysera vilka brister i arbetet med säkerhetsskydd som bör beläggas med sanktioner och föreslå ett system med lämpliga sanktioner för att uppnå säkerhetsskyddslagstiftningens ändamål,
• föreslå vilken eller vilka myndigheter som ska få befogenhet att besluta om sanktioner, och
• utarbeta nödvändiga författningsförslag, dock inte förslag till ändringar i grundlag.
415
Sanktioner SOU 2018:82
I kapitel 8 behandlas tillsynsmyndigheternas befogenheter. Befogenheterna syftar till att säkerställa att myndigheter och enskilda som omfattas av säkerhetsskyddslagstiftningen följer bestämmelserna. Vi lämnar där förslag om att tillsynsmyndigheten ska kunna meddela åtgärdsföreläggande till aktörer som inte lever upp till de krav som ställs i säkerhetsskyddslagen och de föreskrifter som meddelats med stöd av den lagen. Sådana förelägganden ska enligt förslaget kunna förenas med vite. Det som återstår här är att ta ställning till vilka andra sanktioner som bör komma i fråga vid brister i säkerhetsskyddsarbetet.
9.2 Straffrättsliga och administrativa sanktioner
Vår uppgift är att föreslå ett system med sanktioner i säkerhetsskyddslagen. De sanktionsverktyg som normalt står till buds för staten är straff och sanktionsavgifter samt vite, förbud och återkallelse av tillstånd. Direktiven innehåller inga begränsningar i fråga om vilken sorts sanktioner som får eller bör övervägas. Dock har vi, som nyss sagts, redan i kapitel 8 lämnat förslag om en möjlighet för tillsynsmyndigheten att meddela vitessanktionerade åtgärdsföreläggande i syfte att förmå den som omfattas av tillsyn att åtgärda brister i sitt säkerhetsskyddsarbete. De sanktionsmöjligheter som då återstår är dels införande av särskilda straffrättsliga bestämmelser (kriminalisering) eller utvidgning av det redan kriminaliserade området, dels ytterligare administrativa sanktioner.
Säkerhetsskyddslagen innehåller inga regler om krav på tillstånd för att någon ska få bedriva säkerhetskänslig verksamhet. Regler om återkallelse av tillstånd är därför inte någon framkomlig väg när det gäller säkerhetsskyddslagen. En annan sak är att det inte sällan krävs tillstånd enligt andra regelverk för att en verksamhetsutövare ska få bedriva viss verksamhet. Exempel på detta är verksamhet inom transport- och finanssektorerna och kärnteknisk verksamhet. Vi redovisar inga överväganden i fråga om möjligheten att återkalla tillstånd att bedriva en verksamhet med stöd av sådana andra regelverk. Vi ser inte heller att förbud mot att bedriva en viss verksamhet är en framkomlig väg i säkerhetsskyddslagen, som är generell och gäller på många olika områden. Vi diskuterar därför enbart om man
416
SOU 2018:82 Sanktioner
bör införa nya straffbestämmelser eller skärpa de befintliga straffbestämmelserna, eller om man bör införa sanktionsavgifter.
Administrativa sanktioner beslutas oftast av en förvaltningsmyndighet och kan då normalt överklagas till allmän förvaltningsdomstol. Påföljder och annan rättsverkan av brott prövas i regel inom ramen för ett brottmål i allmän domstol, av en åklagare genom strafföreläggande eller av en polisman genom föreläggande av ordningsbot. Ett brott definieras i svensk rätt som en gärning som är beskriven i lag eller annan författning och för vilken straff är föreskrivet.
Både fysiska och juridiska personer kan bli föremål för administrativa sanktioner, men bara fysiska personer kan begå brott och dömas till en brottspåföljd. En näringsidkare kan emellertid i vissa fall åläggas företagsbot för brott som har begåtts i utövningen av näringsverksamheten (36 kap. 7 § brottsbalken, BrB).
9.3 Ingen straffbestämmelse i säkerhetsskyddslagen
Bedömning: Det bör inte införas särskilda straffbestämmelser för
överträdelse av bestämmelserna i säkerhetsskyddslagen och de föreskrifter som meddelats med stöd av den lagen.
I detta avsnitt överväger vi om det bör införas särskilda straffbestämmelser för den som åsidosätter sitt säkerhetsskyddsarbete. En utgångspunkt för våra överväganden är att kriminalisering som metod för att försöka hindra överträdelser av olika normer i samhället bör användas med försiktighet. Ett skäl till detta är att en alltför omfattande kriminalisering kan komma att undergräva straffsystemets brottsavhållande verkan, särskilt om rättsväsendet inte kan beivra alla brott på ett effektivt sätt. Ett annat skäl är att kriminalisering innebär påtagliga inskränkningar i medborgarnas valfrihet och ingripande tvångsåtgärder mot dem som begår brott (se t.ex. prop. 2017/18:205 s. 64). Kriminalisering bör inte komma i fråga om det finns någon alternativ metod som är tillräckligt effektiv för att komma till rätta med det oönskade beteendet (se bl.a. prop. 1994/95:23 s. 55 och bet. 1994/95:JuU2).
Genom våra förslag i kapitel 8 förstärks tillsynen på säkerhetsskyddsområdet och tillsynsmyndigheterna får betydligt bättre verktyg än tidigare för att få till stånd rättelse av verksamhetsutövare som
417
Sanktioner SOU 2018:82
brister i sitt säkerhetsskyddsarbete. Till bilden hör också våra förslag i kapitel 6 och 7 om möjlighet för tillsynsmyndigheterna att meddela förelägganden och ytterst förbjuda vissa förfaranden som är olämpliga från säkerhetsskyddssynpunkt. De allra mest straffvärda överträdelserna är redan kriminaliserade genom bestämmelserna om brott mot rikets säkerhet i 19 kap. BrB. Det kan mot den bakgrunden, och med hänsyn till möjligheten att införa ytterligare administrativa sanktioner, ifrågasättas om det är nödvändigt med en ytterligare kriminalisering.
Det är vidare tveksamt om straff skulle vara den mest effektiva sanktionen när det gäller åsidosättanden av säkerhetsskyddslagen och föreskrifter som meddelats med stöd av den lagen. De verksamhetsutövare som ska tillämpa säkerhetsskyddsregleringen utgörs av statliga myndigheter, kommuner, landsting och företag. Straffansvar kan enligt svensk rätt endast träffa fysiska personer. Om straff införs skulle det i många fall vara svårt att identifiera en fysisk person som ansvarig för överträdelsen och att leda i bevis att denne haft uppsåt eller varit oaktsam på det sätt som krävs för straffbarhet.
Med hänsyn till det anförda anser vi att man i första hand bör försöka komma till rätta med bristerna i säkerhetsskyddsarbetet genom införande av administrativa sanktioner. Någon särskild straffbestämmelse bör alltså inte införas i detta läge. Det sagda hindrar inte att det kan finnas skäl att på nytt överväga frågan om kriminalisering, om införande av administrativa sanktioner inte ger önskad effekt.
9.4 Tillämpningsområdet för befintliga straffbestämmelser bör inte utvidgas
Bedömning: Straffansvar för brotten obehörig befattning med
hemlig uppgift, grov obehörig befattning med hemlig uppgift och vårdslöshet med hemlig uppgift förutsätter att uppgifterna röjts för någon obehörig. Någon ändring av röjanderekvisitet föreslås inte. Det bör inte heller ske några ändringar i bestämmelserna om tjänstefel eller brott mot tystnadsplikt.
418
SOU 2018:82 Sanktioner
Reglerna i 19 kap. brottsbalken bör inte ändras
I vissa fall kan ett åsidosättande av säkerhetsskyddslagens krav leda till att säkerhetsskyddsklassificerade uppgifter röjs för någon obehörig, eller till att det i vart fall uppstår en risk för att uppgifterna röjs. Sådana händelser kan aktualisera tillämpning av vissa straffbestämmelser i 19 kap. BrB. Obehörig befattning med hemlig uppgift (7 §) respektive grov obehörig befattning med hemlig uppgift (8 §) begås av den som uppsåtligen, men utan syfte att gå främmande makt tillhanda, obehörigen anskaffar, befordrar, lämnar eller röjer en uppgift av hemlig natur om försvarsverk, vapen, förråd, import, export, tillverkningssätt, underhandlingar, beslut eller något förhållande i övrigt vars uppenbarande för främmande makt kan medföra men för Sveriges säkerhet. Brottet kan också bestå i att någon obehörigen framställer eller tar befattning med skrift, teckning eller annat föremål som innefattar en sådan uppgift. Vid bedömande huruvida brottet är grovt ska man särskilt beakta om gärningen innefattade tillhandagående av främmande makt eller var av synnerligen farlig beskaffenhet med hänsyn till ett pågående krig eller rörde ett förhållande av stor betydelse eller om den brottsliga personen röjde något som hade betrotts honom eller henne på grund av allmän eller enskild tjänst. Den som av grov oaktsamhet befordrar, lämnar eller röjer sådan uppgift som nyss sagts döms i stället för vårdslöshet med
hemlig uppgift (9 §). Vidtas handlingen för att gå främmande makt
tillhanda döms för spioneri eller grovt spioneri (5 och 6 §§).
Det kan många gånger vara svårt att i ett brottmål visa att någon obehörig faktiskt fått del av de hemliga uppgifterna. Detta ger upphov till frågan, om det finns skäl att lätta upp kravet på att uppgiften har röjts. Detta skulle innebära en viss utvidgning av det kriminaliserade området. Vi diskuterar denna fråga i det följande.
Tidigare överväganden
Frågan om vilka krav som bör ställas i fråga om röjande har aktualiserats tidigare. I betänkandet Spioneri och annan olovlig underrättelse-
verksamhet (SOU 2012:95 s. 311–317) föreslog Utredningen om för-
stärkt skydd mot främmande makts underrättelseverksamhet att bestämmelsen om vårdslöshet med hemlig uppgift även ska omfatta en grovt oaktsam hantering som innebär fara för att uppgiften ska
419
Sanktioner SOU 2018:82
komma någon obehörig till del. Det bör enligt utredningen vara tillräckligt för straffansvar att den enskildes vårdslösa hantering kan innebära ett röjande. Utredningen menade att en hantering som möjliggör att uppgiften kan komma främmande makt till del är klandervärd och innebär en risk för skada, ytterst för Sveriges säkerhet. Avgörande för klandervärdheten är enligt utredningen inte om uppgiften faktiskt kommit en främmande makt till del, vilket kan bero på tillfälligheter eller vara omöjligt att få kännedom om. Man menade att det avgörande i stället borde vara den risk som hanteringen objektivt sett innebär. Straffansvar bör dock enligt utredningens bedömning endast aktualiseras vid förfaranden som typiskt sett innebär en sådan risk. I betänkandet diskuterar utredningen förändringsbehovet när det gäller röjanderekvisitet och anför följande.
En fråga som har problematiserats i utredningen är röjanderekvisitets betydelse och vilken begränsning av tillämpningsområdet som det medför.
Högsta domstolen har i rättsfallet NJA 1991 s. 103 uttalat att ett röjande i regel föreligger om en handling med hemliga uppgifter har kommit i någon obehörigs besittning, att även vissa andra närliggande situationer omfattas men att inte varje möjlighet att ta del av en uppgift som har beretts någon obehörig medför att uppgiften ska anses röjd samt att det avgörande för straffansvar främst bör vara om uppgiften blivit tillgänglig för någon obehörig under sådana omständigheter att man måste räkna med att den obehörige kommer att ta del av uppgiften.
Enligt Säkerhetspolisen har Högsta domstolens avgörande inneburit att fall som uppenbart innefattar grovt oaktsam hantering av hemliga uppgifter inte leder till åtal om det inte finns utredning som visar att uppgifterna har kommit i någon obehörig persons besittning, eller i vart fall att en obehörig person på något sätt har befattat sig med uppgiften. I tillgängliga underrättsdomar har det inte ansetts tillräckligt att det vårdslösa beteendet lett till att en obehörig person har fått tillgång till uppgifterna och därigenom möjlighet att ta del av dem utan det har också krävts att omständigheterna varit sådana att det kan antas att den obehörige har tagit del av uppgifterna. Så har t.ex. ansetts vara fallet när handlingar med känsliga uppgifter har försvunnit vid ett inbrott men inte när de lämnats kvar av inbrottstjuven. Vidare kan Högsta domstolens avgörande tolkas så att det är en förutsättning för straffansvar att det är samma person som uppgifterna har gjorts tillgängliga för som också tar del av dem. Frågan är om det förhållandet bör vara avgörande för straffbarheten eller om det straffbara området även bör fånga upp förfaranden som innebär att uppgifter har blivit tillgängliga för en obehörig person och genom dennes handlande har kommit en annan obehörig person till del. Säkerhetspolisen har i sammanhanget särskilt pekat på de svårigheter som är förknippade med en utredning av röjanderekvisitet och att det i vissa fall är i princip omöjligt att skaffa bevisning
420
SOU 2018:82 Sanktioner
för att ett röjande har skett. Vidare har Säkerhetspolisen framhållit de risker som är förenade med en vårdslös hantering av uppgifter i samband med kommunikationer via internet. Med hänsyn bl.a. till möjligheterna till signalspaning kan en känslig uppgift tämligen enkelt plockas upp av en främmande makt utan att det lämnar spår efter sig. Typiskt sett har hanteringen gett upphov till en överhängande risk – och stor sannolikhet – för att uppgifterna har röjts men det är sällan möjligt att bevisa att så har skett i det enskilda fallet.
I propositionen Förstärkt skydd mot främmande makts underrättelse-
verksamhet (prop. 2013/14:51 s. 51 och 52) gjorde regeringen bedöm-
ningen att utredningens förslag i denna del inte skulle genomföras och anförde att det finns en risk för att det föreslagna tillägget skulle få ett alltför vidsträckt tillämpningsområde. Regeringen anförde vidare följande.
Förslaget utgör en påtaglig skärpning av straffansvaret och en långtgående kriminalisering som kräver starka skäl för sig och en noggrann konsekvensanalys. Straffbestämmelsen har ett ändamålsenligt och väl avvägt tillämpningsområde. Den har också en teknikneutral utformning. Den anpassning av tillämpningsområdet och de förtydliganden som kan behöva ske, t.ex. med hänsyn till den tekniska utvecklingen, sker lämpligast i praxis.
Vår bedömning
Frågan är om det nu finns anledning att göra en annan bedömning än den som gjordes i prop. 2013/14:51. De skäl som kan anföras för ett utvidgat straffansvar är till stor del desamma som regeringen nyligen har tagit ställning till i den angivna propositionen. En skillnad är det förändrade säkerhetsläget i omvärlden, vilket skulle kunna tala för att man omvärderar frågan. Samtidigt bör varje utvidgning av det kriminaliserade området ske med försiktighet och endast om den är nödvändig. Som vi har anfört tidigare lämnar vi i kapitel 8 förslag om en skärpt och effektiviserad tillsyn och möjligheter till vitessanktionerade åtgärdsföreläggande. Det finns också möjlighet att införa ytterligare administrativa sanktioner, som har fördelen att de som regel kan hanteras snabbare och enklare än ett brottmål, bl.a. därför att det normalt inte ställs något krav på uppsåt eller oaktsamhet. Med hänsyn till det anförda finns det inte tillräckliga skäl att i det här sammanhanget lägga fram förslag om ändring av röjanderekvisitet, vare sig i bestämmelsen om vårdslöshet med hemlig uppgift eller när
421
Sanktioner SOU 2018:82
det gäller obehörig befattning och grov obehörig befattning med hemlig uppgift.
Bestämmelserna i 20 kap. bör inte ändras
Den som uppsåtligen eller av oaktsamhet vid myndighetsutövning genom handling eller underlåtenhet åsidosätter vad som gäller för uppgiften ska dömas för tjänstefel till böter eller fängelse i högst två år (20 kap. 1 § BrB). Undantagsvis kan åsidosättanden av åliggandena enligt säkerhetsskyddslagen utgöra tjänstefel, om de sker under myndighetsutövning, t.ex. i samband med en säkerhetsprövning av personal. Det har inte under vårt arbete framkommit något behov av en översyn av tjänstefelsbestämmelsen med utgångspunkt i de frågor som vi har i uppdrag att överväga.
I 20 kap. 3 § BrB finns det även regler om brott mot tystnadsplikt. Straffansvar drabbar den som röjer en uppgift, som han eller hon är pliktig att hemlighålla enligt någon lag eller annan författning eller enligt förordnande eller förbehåll som har meddelats med stöd av lag eller annan författning. Detsamma gäller den som olovligen utnyttjar en sådan hemlighet. Bestämmelsen tillämpas bara om gärningen inte är särskilt belagd med straff enligt någon annan bestämmelse. Bestämmelsen kan t.ex. tillämpas om någon olovligen röjer en hemlig (säkerhetsskyddsklassificerad) uppgift som han eller hon fått del av inom ramen för en anställning eller ett annat deltagande i en säkerhetskänslig verksamhet och personen i fråga omfattas av reglerna i offentlighets- och sekretesslagen (2009:400) eller bestämmelsen 5 kap. 2 § nya säkerhetsskyddslagen om tystnadsplikt. Något skäl att överväga ändringar i bestämmelserna om brott mot tystnadsplikt med utgångspunkt i vårt uppdrag har inte framkommit.
9.5 Sanktionsavgift bör införas
Förslag: Sanktionsavgift införs för vissa åsidosättanden av de skyl-
digheter som följer av säkerhetsskyddslagen och de föreskrifter som meddelats med stöd av den lagen.
422
SOU 2018:82 Sanktioner
I avsnitten 9.3 och 9.4 har vi kommit fram till att det inte bör införas nya straffbestämmelser och inte heller göras ändringar i befintliga straffbestämmelser, utan att de ytterligare sanktioner som behövs för överträdelser av åligganden enligt säkerhetsskyddsregleringen bör vara av administrativt slag. Vi har redan föreslagit vissa administrativa ingripanden i form av åtgärdsföreläggande (se avsnitt 8.11). Vi har vidare i avsnitt 9.2 kommit fram till att det för vår del inte är en framkomlig väg att sanktionera överträdelser av säkerhetsskyddslagstiftningen med hjälp av återkallelse av tillstånd eller förbud att bedriva viss verksamhet. Detta innebär att den administrativa sanktion som återstår att överväga för oss är sanktionsavgifter. I det här avsnittet diskuterar vi om sanktionsavgift bör införas som en ny administrativ sanktion.
Vad är en sanktionsavgift?
En sanktionsavgift är en ekonomisk sanktion som vanligen riktar sig mot en konstaterad överträdelse av en författningsbestämmelse men anses inte ingå i det straffrättsliga systemet. Sanktionsavgifter finns inom en rad rättsområden och har olika tillämpningsområde, syfte och utformning. I vissa fall är sanktionsavgift den enda sanktionen för en överträdelse, men i andra fall kan avgift tas ut vid sidan av eller i stället för straff.
För- och nackdelar med sanktionsavgifter
Användningen av sanktionsavgifter har ökat kraftigt. Övergången från straffbestämmelser till bestämmelser om sanktionsavgift syftade ursprungligen till att utnyttja rättsväsendets resurser bättre och att kunna beivra en del mindre allvarliga och ofta förekommande överträdelser effektivare. Ofta kan avgift tas ut oberoende av om reglerna överträtts uppsåtligen eller av oaktsamhet.
Ett annat syfte med sanktionsavgift var att skapa en kännbar ekonomisk sanktion mot juridiska personer, som inte kan bli föremål för straffrättsliga åtgärder. Sanktionsavgift kan riktas mot det subjekt som tjänar på överträdelsen eller har agerat mest klandervärt eller bär det största ansvaret för att överträdelsen begicks. Om sanktionsavgiften kan komma att innebära en kostnad eller förlust som
423
Sanktioner SOU 2018:82
är lika stor som eller större än den besparing som görs genom att regelverket inte följs, skapar avgiften incitament att undvika överträdelser. När sanktionsavgift tas ut av en myndighet har den ekonomiska aspekten dock inte lika stor betydelse.
Krigsmaterielexportöversynskommittén har ingående belyst föroch nackdelarna med sanktionsavgifter (SOU 2014:83 s. 104–106). Kommittén undersökte hur tillsynsmyndigheterna ansåg att systemen med administrativa sanktionsavgifter fungerade. Det visade sig att fördelarna med sanktionsavgifter var många. En vanlig åsikt var att sanktionsavgifter har bättre förutsättningar att bidra till regelefterlevnad än straffsanktioner, eftersom brott mot den aktuella lagstiftningen inte prioriteras av rättsväsendet. Administrativa sanktionsavgifter ansågs också vara mer förutsebara, vilket leder till en bättre preventiv effekt. Det uppgavs t.ex. att antalet beslutade avgifter hos vissa av myndigheterna minskat över tid. Myndigheterna bedömde att det berodde på ökad regelefterlevnad. Sanktionsavgifter ledde enligt de myndigheter som kommittén frågade också till enklare och snabbare beivrande av överträdelser, jämfört med straffsanktioner. Sanktionsavgifter ansågs också vara resurseffektiva, eftersom den tillsynsmyndighet som beslutar om avgifterna fattar beslutet baserat på sin egen utredning. Andra myndigheter behöver inte kopplas in i processen, utom vid överklagande eller om avgiften ska beslutas av domstol på ansökan av tillsynsmyndigheten.
Sanktionsavgifter förekommer bl.a. för överträdelser av den nya brottsdatalagen (2018:1177) och den nya lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster, i det följande kallad NIS-lagen. I propositionen till brottsdatalagen framhöll regeringen att det, förutom de angivna fördelarna, också finns nackdelar med sanktionsavgifter. Regeringen anförde bl.a. följande (prop. 2017/18:232 s. 315). Om sanktionsavgiftsbeloppet är lågt kan verksamhetsutövaren se avgiften som enbart en kostnad som det går att kalkylera med. I dessa fall bidrar avgiften inte till ökad regelefterlevnad. System med sanktionsavgifter kan kräva mer resurser hos tillsynsmyndigheten. Domstolsväsendet kan, i vart fall inledningsvis, få fler ärenden att hantera om sanktionsavgifter införs. Innan det finns vägledande praxis kan det t.ex. råda osäkerhet om när sanktionsavgift ska tas ut och med vilket belopp. Det behöver alltså inte bli en ekonomisk besparing för staten att införa sanktionsavgifter.
424
SOU 2018:82 Sanktioner
Avsaknaden av en domstols bedömning av händelseförlopp kan vidare inverka menligt på rättssäkerheten.
Eftersom vi har föreslagit i kapitel 8 att det införs en möjlighet att utfärda vitessanktionerade åtgärdsförelägganden skulle införande av sanktionsavgifter leda till att tillsynsmyndigheten i vissa situationer kan välja mellan att genomdriva en åtgärd med vite eller att i efterhand påföra sanktionsavgift. En fördel med detta är att ingripandemöjligheterna kan anpassas till behovet i det enskilda fallet. En nackdel är dock att sanktionssystemet inte blir så förutsägbart som man kan önska.
Är sanktionsavgift en lämplig reaktion mot offentliga verksamhetsutövare?
En särskild fråga är om sanktionsavgifter är en lämplig reaktion mot myndigheter. Säkerhetsskyddslagen kännetecknas av att den gäller både för enskilda rättssubjekt och för myndigheter, kommuner och landsting. Frågan om sanktionsavgifter mot myndigheter diskuterades ingående i propositionen till brottsdatalagen. Där anges bl.a. följande (prop. 2017/18:232 s. 315 och 316). Sanktionsavgift kan tas ut av myndigheter på vissa områden. Hit hör bl.a. miljösanktionsavgift enligt miljöbalken och förordningen (2012:259) om miljösanktionsavgifter. Enligt praxis tas dock inte miljösanktionsavgift ut av myndigheter om överträdelsen skett vid myndighetsutövning. Det finns också exempel på sanktionsavgifter som särskilt riktar sig mot myndigheter. Enligt 21 kap. 1 § 3 lagen (2016:1145) om offentlig upphandling får allmän förvaltningsdomstol på ansökan av tillsynsmyndigheten vid otillåten direktupphandling besluta att en upphandlande myndighet ska betala upphandlingsskadeavgift. I förarbetena till den tidigare lagen om offentlig upphandling, som innehöll en motsvarande bestämmelse, betonades vikten av att sanktionsbestämmelserna är desamma för alla slag av upphandlande myndigheter och enheter och att något undantag för statliga myndigheter därför inte borde göras även om det innebär att staten betalar en avgift till staten (Nya rättsmedel på upphandlingsområdet, prop. 2009/10:180 s. 183).
Regeringens bedömning angående brottsdatalagen var att sanktionsavgift är en lämplig sanktion mot myndigheter vid överträdelser av regler om personuppgiftsbehandling (prop. 2017/18:232 s. 316). Samma bedömning gjordes i fråga om den nya NIS-lagen. Även i den
425
Sanktioner SOU 2018:82
lagen har det införts regler om sanktionsavgifter, som bl.a. kan meddelas mot myndigheter. Vi ser inte anledning till en annan bedömning när det gäller säkerhetsskyddsregleringen.
Är sanktionsavgift i övrigt en lämplig reaktion?
Frågan är då om sanktionsavgift i övrigt är en lämplig reaktion på överträdelser av bestämmelser i säkerhetsskyddsregleringen. Det finns flera skäl som talar för en sådan lösning. Ett skäl är att de myndigheter som i dag tillämpar sanktionsavgifter inom andra områden ser många fördelar med den sanktionen. De argument som dessa lyft fram väger tungt även när det gäller säkerhetsskydd. Sanktionsavgift är en snabb och tydlig sanktion som även kan vara kännbar ekonomiskt. Risken att drabbas av en sådan sanktion skulle verka avskräckande. Överträdelserna skulle därmed på sikt kunna minska på det sätt som beskrivits inom andra områden. Det finns också anledning att anta att ett system med sanktionsavgifter skulle kunna vara effektivare än straffsanktioner. Mindre bevissvårigheter kan leda till att fler överträdelser beivras än om ansvaret är straffrättsligt.
Vår uppfattning är vidare att det kan ha betydelse för andra staters förtroende för Sverige att det finns en tydlig och effektiv sanktion för den som exempelvis har ett otillräckligt skydd för säkerhetsskyddsklassificerad information. Genom införande av sanktionsavgifter skulle det skapas tydligare och bättre verktyg för att styra säkerhetsskyddet inom Sverige.
De uppräknade fördelarna överväger enligt vår mening de nackdelar som vi tagit upp tidigare. Enbart möjligheten att utfärda åtgärdsföreläggande är enligt vår mening inte tillräckligt för att sanktionssystemet som helhet ska framstå som effektivt och heltäckande. Sammantaget gör vi bedömningen att det i säkerhetsskyddslagen bör tas in regler om sanktionsavgift som ett komplement till möjligheten att meddela åtgärdsföreläggande i förening med vite.
426
SOU 2018:82 Sanktioner
9.6 Utgångspunkter för utformningen av sanktionsavgiftssystemet
Bedömning: Sanktionsavgiftssystemet bör utformas med beakt-
ande av regeringens riktlinjer för sådana avgifter och Sveriges internationella åtaganden.
Regeringens riktlinjer för att använda sanktionsavgift
Sanktionsavgift har använts som sanktionsform under lång tid. Inledningsvis fanns det inga riktlinjer för hur sanktionsavgifter skulle utformas och användas. I samband med lagstiftningsarbetet om ekonomiska sanktioner i näringsverksamhet togs dock ett samlat grepp om frågan. I prop. 1981/1982:142 (s. 24 och 25) lade regeringen fram allmänna riktlinjer för hur ett sanktionsavgiftssystem bör utformas. Riktlinjerna i propositionen har kommit att ligga till grund för förslagen i olika lagstiftningsärenden och tillämpas fortfarande (se t.ex. prop. 2015/16:118 och prop. 2016/17:22). Riktlinjerna kan sammanfattas enligt följande.
• Ett avgiftssystem kan erbjuda en ändamålsenlig lösning i fall där regelöverträdelser är särskilt frekventa eller speciella svårigheter föreligger att beräkna storleken av den vinst eller besparing som uppnås i det särskilda fallet.
• Avgifter bör få förekomma endast inom speciella och klart avgränsade rättsområden.
• Bestämmelserna om beräkning av avgiftsbeloppet bör konstrueras så att de utgår från ett mätbart moment i den aktuella överträdelsen – en parameter – som gör det möjligt att förutse och fastställa hur stor avgiften ska bli i det särskilda fallet.
• Beroende på det aktuella rättsområdets natur bör särskilt prövas om uppsåt eller oaktsamhet ska förutsättas för avgiftsskyldighet eller om skyldigheten ska bygga på strikt ansvar. För att en konstruktion med strikt ansvar ska vara försvarbar från rättssäkerhetssynpunkt bör det finnas starkt stöd för en presumtion om att överträdelser på området inte kan förekomma annat än som en följd av uppsåt eller oaktsamhet.
427
Sanktioner SOU 2018:82
• Bestämmelser som reglerar möjligheten till jämkning av avgiftsbelopp bör så långt möjligt vara så preciserade att det inte föreligger någon tvekan om deras räckvidd.
• Något hinder bör inte föreligga mot att låta avgiftsregler som i första hand riktas mot juridiska personer och straffrättsliga bestämmelser riktade mot fysiska personer vara tillämpliga vid sidan av varandra. De subjektiva rekvisiten kan vara olika utformade i de olika systemen – strikt ansvar vid avgift och uppsåt eller oaktsamhet vid straffrättsligt ansvar.
• Att ta ut sanktionsavgifter kan i viss utsträckning överlämnas till de administrativa myndigheter som är verksamma på det aktuella området. I vissa fall är det emellertid lämpligt att överlämna denna prövning till domstol.
Riktlinjerna tar sikte på sanktioner med vinstbegränsande syfte. De brukar dock också läggas till grund för utformningen av sådana sanktionssystem som har ett bestraffande syfte.
Andra riktlinjer på området
Vid sidan om regeringens riktlinjer finns det ytterligare riktlinjer som bör beaktas vid utformningen av ett sanktionsavgiftssystem. Europakonventionen kan vara av betydelse för sanktionsavgiftssystem, om avgifterna är att jämställa med en straffrättslig påföljd. Europarådets rekommendation nr R (91) om administrativa sanktionsavgifter omfattar åtta principer. Många av frågeställningarna regleras också i Europakonventionen. Några behandlas dock inte i konventionen. Rekommendationen, som inte är rättsligt bindande, får därför anses komplettera konventionen. Principerna kan sammanfattas enligt följande (se SOU 2014:83 s. 110 och 111).
• Såväl sanktionens innehåll som de omständigheter som krävs för att sanktionen ska kunna åläggas någon ska framgå av lag.
• Förbud mot retroaktiv tillämpning.
• Förbud mot dubbelprövning (ne bis in idem).
• Krav på rimlig handläggningstid.
428
SOU 2018:82 Sanktioner
• Krav på ett slutligt beslut. Varje inlett förfarande som kan föranleda att en sanktion åläggs en person ska avslutas med ett slutligt avgörande.
• Krav på ett öppet, objektivt och rättvist förfarande. Varje person som riskerar att åläggas en sanktion ska informeras om anklagelsen och den bevisning som åberopas. Vidare ska han eller hon få tillfälle att yttra sig och få tillräcklig tid till det. Ett sanktionsbeslut ska innehålla skälen för beslutet.
• Bevisbördan åligger den som beslutar om sanktionen.
• Krav på domstolsprövning. En sanktion beslutad av en administrativ myndighet ska kunna överprövas av en domstol.
Utgångspunkter för utformningen av sanktionsavgiftssystemet
Vid utformningen av sanktionssystemet bör utgångspunkterna vara desamma som när man i andra sammanhang infört sanktionsavgifter (jfr t.ex. prop. 2017/18:232 s. 319). Det innebär att regeringens riktlinjer och Sveriges internationella åtaganden, däribland åtagandena enligt Europakonventionen ska beaktas. Det innebär vidare att bestämmelserna om sanktionsavgift bör utformas i linje med hur sådana avgifter utformats inom andra rättsområden och att de rättssäkerhetskrav som ställs på sanktionsavgift bör få genomslag. Av det följer att frågor om sanktionsavgift bör regleras i lag och att det av den bör framgå när, hur och av vem sanktionsavgift får tas ut. Systemet ska också vara förutsebart och möta kraven på rimlig handläggningstid, domstolsprövning och en rättssäker process. En annan självklar utgångspunkt är att systemet bör vara ändamålsenligt på så sätt att det är verkningsfullt för de brister som det är tänkt att åtgärda.
9.7 Vem ska betala sanktionsavgiften?
Förslag: Sanktionsavgift tas ut av verksamhetsutövaren. Vid över-
trädelser av reglerna om samråd i samband med överlåtelse av säkerhetskänslig verksamhet kan sanktionsavgift även tas ut av en aktie- eller andelsägare.
429
Sanktioner SOU 2018:82
Sanktionsavgifter kan användas både mot juridiska och fysiska personer. Vår bedömning är att övervägande skäl talar för att skyldigheten att betala sanktionsavgift enligt säkerhetsskyddslagen läggs på verksamhetsutövaren, som normalt är en juridisk person i form av en myndighet, en kommun, ett landsting eller ett företag. Detta skulle motsvara vad som gäller i den närliggande regleringen om informationssäkerhet för samhällsviktiga och digitala tjänster. Enligt den nya NIS-lagen är det nämligen leverantören av en sådan tjänst som kan drabbas av sanktionsavgift för vissa åsidosättanden av sina skyldigheter enligt regleringen (29 § den nyssnämnda lagen). Det handlar då typiskt sett om en juridisk person.
En viktig fördel med sanktionsavgifter i stället för straff är att överträdelserna lättare kan utredas och att förfarandet går snabbare, bl.a. eftersom det normalt inte ställs krav på uppsåt eller oaktsamhet. Vår uppfattning är att det samtidigt är problematiskt att ålägga en enskild, t.ex. en anställd på en viss nivå, en sanktionsavgift utan att det visats att personen i fråga faktiskt gjort sig skyldig till någon uppsåtlig eller oaktsam överträdelse av säkerhetsskyddsregleringen. En sådan ordning skulle ligga mycket nära ett strikt straffrättsligt ansvar, något som är främmande för vår rättsordning. Vi gör i avsnitt 9.9 bedömningen att sanktionsavgiftssystemet bör bygga på strikt ansvar, dvs. att det inte bör krävas uppsåt eller oaktsamhet. Detta talar för att sanktionsavgifter bör meddelas verksamhetsutövaren som sådan och inte exempelvis säkerhetsskyddschefen eller den person som är ytterst ansvarig för verksamheten. En sådan ordning medför också att saken blir lättare att utreda, vilket som sagt är ett viktigt syfte med sanktionsavgifter. Som ett annat skäl kan det anföras att det normalt är verksamhetsutövaren och inte någon enskild anställd som eventuellt kan tjäna på eller göra besparingar på ett åsidosättande av säkerhetsskyddsregleringen.
Sammantaget gör vi alltså bedömningen att sanktionsavgiften bör tas ut av den verksamhetsutövare som åsidosatt sina skyldigheter enligt säkerhetsskyddsregleringen.
Vi har övervägt om det bör vara möjligt att ta ut sanktionsavgift även av en utomstående aktör som en verksamhetsutövare har tecknat säkerhetsskyddsavtal med, även om denne inte är en verksamhetsutövare enligt säkerhetsskyddslagen. En sådan lösning kan förefalla mest konsekvent med våra förslag i kapitel 8, som bl.a. går ut på att åtgärdsförelägganden kan riktas mot sådana aktörer. Samtidigt
430
SOU 2018:82 Sanktioner
kan det konstateras att sanktionsavgift är en ingripande åtgärd och att det är tveksamt om det är nödvändigt att tillsynsmyndigheten ges möjlighet att, utöver förelägganden, även besluta om sanktionsavgift för en aktör som inte bedriver säkerhetskänslig verksamhet. Vi har stannat för att i detta läge inte lägga fram sådana förslag. Det bör i sammanhanget noteras att den verksamhetsutövare som ingår ett säkerhetsskyddsavtal har ansvar för att kontrollera att motparten följer detta. Det får förutsättas att det i säkerhetsskyddsavtalet eller det kommersiella avtalet finns överenskommelser om avtalssanktioner för den som inte lever upp till sina säkerhetsskyddsåtaganden.
I ett fall anser vi att det finns övervägande skäl för att ålägga någon annan än en verksamhetsutövare sanktionsavgift. Vi syftar då på situationer där en aktie- eller andelsägare enligt våra föreslag i avsnitt 7.10 är skyldig att samråda inför en överlåtelse av sina aktier eller andelar i en säkerhetskänslig verksamhet. Om det inte finns en tydlig konsekvens för överträdelser blir incitamenten för att följa reglerna svaga. Risken är då stor att de inte får den förebyggande effekt som de är tänkta att ha. Det bör därför vara möjligt att besluta om sanktionsavgift för en aktie- eller andelsägare som går vidare med en överlåtelse utan att fullgöra sin samrådsskyldighet eller i strid med ett meddelat förbud eller villkor.
9.8 Överträdelser som ska leda till sanktionsavgift
Förslag: Sanktionsavgift ska tas ut av den verksamhetsutövare som
1. underlåter att göra en anmälan till tillsynsmyndigheten enligt
2 kap. 1 a § säkerhetsskyddslagen eller enligt föreskrifter som har meddelats i anslutning till den paragrafen,
2. underlåter att utföra eller uppdatera en säkerhetsskyddsanalys
enligt 2 kap. 1 § säkerhetsskyddslagen eller enligt föreskrifter som har meddelats i anslutning till den paragrafen,
3. underlåter att vidta säkerhetsskyddsåtgärder enligt 2 kap. 2–
4 §§säkerhetsskyddslagen eller enligt föreskrifter som har meddelats i anslutning till de paragraferna,
4. underlåter att säkerhetsskyddsklassificera uppgifter enligt 2 kap.
431
Sanktioner SOU 2018:82
5. underlåter att kontrollera säkerhetsskyddet i den egna verk-
samheten eller att fullgöra anmälnings- eller rapporteringsplikt enligt 2 kap. 1 § säkerhetsskyddslagen eller enligt föreskrifter som har meddelats i anslutning till den paragrafen,
6. underlåter att ingå ett säkerhetsskyddsavtal enligt 2 kap. 6 §
säkerhetsskyddslagen eller som ingår ett säkerhetsskyddsavtal som är bristfälligt i väsentlig mån,
7. inleder ett förfarande som avses i 2 a kap. 3 § säkerhetsskydds-
lagen eller genomför en överlåtelse som avses i 2 a kap. 7 § samma lag utan att fullgöra den samrådsskyldighet som följer av respektive paragraf,
8. inleder ett förfarande i strid med ett förbud som meddelats
med stöd av 2 a kap. 3 eller 4 § säkerhetsskyddslagen eller genomför en överlåtelse i strid med ett förbud eller villkor som meddelats med stöd av 2 a kap. 7 eller 8 § samma lag,
9. lämnar oriktiga uppgifter i samband med tillsyn eller med sam-
rådsförfaranden enligt de bestämmelser som anges i p. 7, eller 10.underlåter att enligt 2 kap. 6 c § säkerhetsskyddslagen utse en
säkerhetsskyddschef.
Sanktionsavgift ska även tas ut av en aktie- eller andelsägare som genomför en överlåtelse utan att fullgöra sin samrådsskyldighet eller i strid med ett meddelat förbud eller villkor, eller som lämnar oriktiga uppgifter vid samrådet.
Kravet enligt nya säkerhetsskyddsförordningen på att en säkerhetsskyddsanalys ska hållas uppdaterad preciseras genom att det införs ett uttryckligt krav på att analysen ska uppdateras åtminstone årligen.
Sanktionsavgift bör bara utgå vid överträdelse av de viktigaste åliggandena
Vår uppfattning är att sanktionsavgifter i första hand bör komma i fråga för överträdelser av de bestämmelser i säkerhetsskyddsregleringen som är allra viktigast för säkerhetsskyddet. Således bör sanktionsavgifter reserveras för överträdelser av regler som har avgörande
432
SOU 2018:82 Sanktioner
betydelse för att upprätthålla ett väl anpassat säkerhetsskydd och där åsidosättanden ytterst kan leda till allvarliga konsekvenser för Sveriges säkerhet. Med denna utgångspunkt gör vi bedömningen att sanktionsavgifter bör införas som ett komplement till möjligheten att meddela åtgärdsföreläggande i följande fall.
Anmälningsskyldighet
Vi föreslår i avsnitt 8.14 att den som bedriver säkerhetskänslig verksamhet ska anmäla detta till tillsynsmyndigheten. Det är fråga om en grundläggande skyldighet som har flera viktiga funktioner. Det är oerhört viktigt att verksamhetsutövare noga analyserar om den verksamhet man bedriver är säkerhetskänslig, eftersom det är en förutsättning för att man ska kunna vidta de säkerhetsskyddsåtgärder som i så fall är påkallade. Som vi har kommit fram till i det angivna avsnittet bör anmälningsskyldigheten därför vara sanktionerad. Den som försummar anmälningsskyldigheten bör alltså kunna åläggas en sanktionsavgift. Det framstår även som lämpligt att föreskriva om sanktionsavgift för den som försummar att anmäla när den säkerhetskänsliga verksamheten upphör. I annat fall leder inte anmälningsskyldigheten till den önskvärda effekten att tillsynsmyndighetens överblick förbättras. I övrigt kan hänvisas till de skäl som anförts i avsnitt 8.14.
Säkerhetsskyddsanalys
En central skyldighet enligt säkerhetsskyddslagen är att utreda behovet av säkerhetsskydd genom en säkerhetsskyddsanalys som dokumenteras (2 kap. 1 § första stycket nya säkerhetsskyddslagen). Det är säkerhetsskyddsanalysen som ligger till grund för verksamhetsutövarens säkerhetsskyddsåtgärder och för den särskilda säkerhetsbedömning som ska göras inför en viss upphandling, och – enligt våra förslag – även inför vissa andra förfaranden där den säkerhetskänsliga verksamheten exponeras för utomstående (se avsnitt 6.7 och 7.9). Säkerhetsskyddsanalysens centrala betydelse för all verksamhet som rör säkerhetsskydd talar starkt för att skyldigheten att göra en säkerhetsskyddsanalys bör vara sanktionerad.
433
Sanktioner SOU 2018:82
En fråga är dock om skyldigheten att göra en säkerhetsskyddsanalys är tillräckligt preciserad i säkerhetsskyddsregleringen för att det ska vara lämpligt att föreskriva om sanktionsavgift. Enligt lagbestämmelsen krävs det endast att behovet av säkerhetsskydd analyseras och att analysen ska dokumenteras. Bestämmelsen preciseras något i 2 kap. 1 § nya säkerhetsskyddsförordningen, där det bl.a. anges att analysen ska hållas uppdaterad. Vår bedömning är att detta inte är tillräckligt precist för att en underlåtenhet ska kunna föranleda en sanktionsavgift. Vi menar nämligen att kravet på att analysen ska hållas uppdaterad lämnar alltför stort tolkningsutrymme om vad kravet innebär i praktiken. För att sanktionsavgift ska kunna föreskrivas för underlåtelse att göra en säkerhetsskyddsanalys bör det därför finnas regler som närmare preciserar hur ofta detta ska ske. Vi anser att en sådan regel även har den fördelen att det tydliggör för verksamhetsutövarna vad som åligger dem när det gäller säkerhetsskyddsanalys.
Med hänsyn till det skärpta säkerhetsläget i omvärlden och att detta snabbt kan förändras, anser vi att det är lämpligt att säkerhetsskyddsanalysen uppdateras åtminstone varje år. Några svårigheter att utreda om skyldigheten har fullgjorts eller inte torde som regel inte uppkomma, eftersom analysen ska dokumenteras. Vi föreslår därför att bestämmelsen i säkerhetsskyddsförordningen ändras i enlighet med det anförda och att underlåtenhet att göra eller uppdatera en säkerhetsskyddsanalys beläggs med sanktionsavgift.
Säkerhetsskyddsåtgärder
En annan grundläggande skyldighet för verksamhetsutövaren är att, med utgångspunkt i säkerhetsskyddsanalysen, planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter (2 kap. 1 § andra stycket nya säkerhetsskyddslagen). Frånvaron av säkerhetsskyddsåtgärder kan leda till mycket allvarliga konsekvenser för såväl den säkerhetskänsliga verksamheten som för Sveriges säkerhet i stort. Vi bedömer därför att det finns starka skäl att införa sanktioner för den verksamhetsutövare som underlåter att planera och vidta de säkerhetsskyddsåtgärder som behövs.
434
SOU 2018:82 Sanktioner
Det är bedömningarna i säkerhetsskyddsanalysen som är utgångspunkten för att planera och vidta de säkerhetsskyddsåtgärder som behövs. Vid en prövning av om verksamhetsutövaren har underlåtit att planera och vidta säkerhetsskyddsåtgärder är alltså säkerhetsskyddsanalysen av stor betydelse. Om analysen visar att det finns ett behov av en viss säkerhetsskyddsåtgärd, och denna åtgärd inte har vidtagits bör det kunna leda till sanktionsavgift. I vissa fall preciseras kraven på säkerhetsskyddsåtgärder genom förordning och föreskrifter. Som exempel kan nämnas kravet i 3 kap. 1 § nya säkerhetsskyddsförordningen att verksamhetsutövaren, innan ett informationssystem som har betydelse för säkerhetskänslig verksamhet tas i drift, ska ta ställning till och dokumentera vilka säkerhetskrav i systemet som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses. Ett exempel som gäller säkerhetsskyddsåtgärder inom fysisk säkerhet är att områden, byggnader och andra anläggningar eller objekt där säkerhetsskyddsklassificerade uppgifter förvaras eller annars behandlas, eller där säkerhetskänslig verksamhet i övrigt bedrivs, ska vara försedda med funktioner för att upptäcka, försvåra och hantera obehörigt tillträde och skadlig inverkan utifrån ett identifierat säkerhetsskyddsbehov (4 kap. 1 § nya säkerhetsskyddsförordningen). Även underlåtenhet att vidta sådana åtgärder som preciserats i förordning eller föreskrifter bör enligt vår mening kunna föranleda sanktionsavgift.
Även om de krav som framgår i säkerhetsskyddslagen är relativt obestämda menar vi att krav på säkerhetsskyddsåtgärder som följer av säkerhetskyddsanalysen, eller krav som preciserats genom förordning eller myndighetsföreskrifter, är så preciserade att sanktionsavgift kan användas. Vidare skulle sanktionssystemet framstå som alltför tandlöst om sanktionsavgift inte kan meddelas i de fall som nu diskuteras. Sanktionsavgift bör därför kunna åläggas den som underlåtit att vidta säkerhetsskyddsåtgärder, förutsatt att tillräcklig precisering har skett i t.ex. föreskrifter.
Säkerhetsskyddsklassificering
En grundläggande skyldighet i nya säkerhetsskyddslagen är kravet på att säkerhetsskyddsklassificerade uppgifter ska delas in i säkerhetsskyddsklasser (2 kap. 5 § lagen). Utan en sådan klassificering
435
Sanktioner SOU 2018:82
saknas det förutsättningar för korrekta bedömningar i fråga om bl.a. säkerhetsprövning och säkerhetsskyddsavtal. En utebliven klassificering kan alltså få stora konsekvenser för säkerhetsskyddet. Det torde i normalfallet inte vara svårt för tillsynsmyndigheten att kontrollera om säkerhetsskyddsklassificering har skett eller inte. Med hänsyn till det anförda bör underlåtenhet att genomföra säkerhetsskyddsklassificering av uppgifter kunna leda till sanktionsavgift för verksamhetsutövaren.
Skyldighet att kontrollera, anmäla och rapportera
Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta åtgärder som krävs enligt lagen (2 kap. 1 § tredje stycket nya säkerhetsskyddslagen). Kravet på att anmäla och rapportera innebär att verksamhetsutövaren ska fullgöra sådan anmälnings- och rapporteringsskyldighet som framgår av föreskrifter (prop. 2017/18:89 s. 137). Underlåtenhet att kontrollera det egna säkerhetsskyddet och att anmäla och rapportera enligt säkerhetsskyddslagen bör inte innebära några svårigheter att konstatera även om det kan krävas en viss bedömning när det gäller rapporteringsskyldigheten. Viss anmälningsskyldighet följer av bestämmelser i 2 kap. 5 och 7–11 §§ nya säkerhetsskyddsförordningen. Vi utgår ifrån och förutsätter att bestämmelserna om rapporteringsskyldighet kommer att preciseras i föreskrifter i enlighet med de bemyndiganden som följer av bestämmelserna i nya säkerhetsskyddsförordningen. Det bör dock framhållas att vi anser att det inte är lämpligt med sanktionsavgift, om en tillräcklig precisering inte sker.
I kravet på kontroll av verksamheten ingår enligt vår bedömning kravet på kontroll av att motparten följer ett säkerhetsskyddsavtal (2 kap. 6 § andra stycket nya säkerhetsskyddslagen, 2 kap. 6 b § enligt våra förslag). Även den som underlåter att kontrollera detta bör alltså kunna åläggas sanktionsavgift.
436
SOU 2018:82 Sanktioner
Säkerhetsskyddsavtal
Skyldigheten att ingå säkerhetsavtal när det krävs är fundamental för att ett tillräckligt säkerhetsskydd ska upprätthållas vid bl.a. upphandling. Kriterierna för när säkerhetsskyddsavtal ska ingås är enligt vår mening tillräckligt utmejslade i regleringen för att skyldigheten ska kunna förenas med sanktionsavgift. Vidare kan kraven på avtalets innehåll preciseras ytterligare genom föreskrifter. Med hänsyn till vikten av att kravet upprätthålls bör den verksamhetsutövare som underlåter att ingå ett säkerhetsskyddsavtal kunna åläggas sanktionsavgift. Det är lika viktigt att avtalet får ett genomtänkt innehåll, något som i dag inte alltid är fallet. Det har nämligen visat sig att det förekommer säkerhetsskyddsavtal som helt bygger på färdiga mallar eller är behäftade med andra allvarliga brister. Ett sådant avtal fyller inte den funktion som säkerhetsskyddsavtalet ska ha, dvs. att se till att även en leverantör eller annan utomstående part som får insyn i verksamheten upprätthåller ett tillräckligt säkerhetsskydd. Därför bör även den verksamhetsutövare som ingår ett bristfälligt avtal kunna åläggas sanktionsavgift. För att sålla bort fall där det finns utrymme för olika rimliga bedömningar av vilket innehåll säkerhetsskyddsavtalet bör ha, bör det dock krävas att avtalet är bristfälligt i väsentlig
mån.
Underlåtelse att följa regler om samråd eller förbud
Vi lämnar i kapitel 6 och 7 förslag om krav på att en verksamhetsutövare i vissa fall samråder med tillsynsmyndigheten innan man inleder vissa förfaranden. Vi lämnar där även förslag som innebär en utvidgad möjlighet för tillsynsmyndigheterna att förhindra vissa förfaranden som anses olämpliga från säkerhetsskyddssynpunkt. De föreslagna åtgärderna har enligt vår mening mycket stor betydelse för att förebygga skador för Sveriges säkerhet i samband med bl.a. utkontraktering och överlåtelse av säkerhetskänslig verksamhet. Vi anser därför att det är nödvändigt att det finns en möjlighet att besluta om en kännbar sanktionsavgift för den som inleder ett förfarande eller genomför en överlåtelse utan att fullgöra sin samrådsskyldighet. Detsamma bör gälla den som inleder ett förfarande eller genomför en överlåtelse i strid med ett förbud mot åtgärden som har meddelats med stöd av de regler som vi föreslår. Sanktionsavgift bör
437
Sanktioner SOU 2018:82
dessutom kunna tas ut om en överlåtelse genomförs i strid med villkor för överlåtelsen som tillsynsmyndigheten ställt upp i ett föreläggande vid samrådets avslutande.
Som vi har utvecklat redan i avsnitt 9.7 bör det dessutom vara möjligt att ta ut sanktionsavgift av en aktie- eller andelsägare som överträder reglerna om samrådsskyldighet eller ett meddelat förbud eller villkor i samband med en överlåtelse av aktier eller andelar. Detta utgör ett avsteg från principen om att det är verksamhetsutövaren som åläggs sanktionsavgiften. Vi anser att avsteget är nödvändigt för att bestämmelserna ska få tillräcklig genomslagskraft och inte lämna ett alltför stort utrymme för kringgåenden.
Oriktiga uppgifter
I kapitel 8 lägger vi fram förslag om en ny tillsynsstruktur och föreslår där även att tillsynsmyndigheterna ska få tydligare befogenheter i samband med tillsynen. Det är av stor vikt att de som är föremål för tillsyn (tillsynsobjekt) lämnar korrekta uppgifter till tillsynsmyndigheterna i samband med tillsyn. Lämnande av oriktiga uppgifter vid tillsyn bör därför beläggas med sanktionsavgift. Det är också viktigt att de uppgifter som lämnas i samband med samråd enligt våra förslag i kapitel 6 och 7 är riktiga. I syfte att motverka att verksamhetsutövare och andra som omfattas av samrådsskyldighet lämnar oriktiga uppgifter bör det därför vara möjligt att besluta om sanktionsavgift när så har skett.
Underlåtelse att utse en säkerhetsskyddschef
Vi föreslår i avsnitt 6.6 vissa förändringar av bestämmelserna om säkerhetsskyddschef, och att dessa flyttas från nya säkerhetsskyddsförordningen till nya säkerhetsskyddslagen. Vi anser att skyldigheten att ha en säkerhetsskyddschef är grundläggande och mycket viktig för att säkerhetsskyddet ska få den centrala roll i verksamheten som är nödvändig. Vi anser att det därför bör kunna leda till sanktionsavgift om verksamhetsutövaren har underlåtit att utse en säkerhetsskyddschef.
438
SOU 2018:82 Sanktioner
9.9 Sanktionsavgift ska alltid tas ut
Förslag: Regleringen av sanktionsavgifter ska bygga på strikt ansvar.
Det ska vara obligatoriskt att ta ut sanktionsavgift när en bestämmelse i säkerhetsskyddslagstiftningen som kan föranleda avgift har överträtts.
Sanktionssystemet bör bygga på strikt ansvar
Huvudregeln vid användande av sanktionsavgift är att avgiftsskyldigheten ska bygga på strikt ansvar. Vår bedömning är att det inte finns skäl att avvika från denna grundprincip när det gäller överträdelser av säkerhetsskyddsregleringen. Som har framhållits i andra sammanhang är det framför allt den omständigheten att det inte behöver bevisas att handlandet varit avsiktligt eller att avgöra hur oaktsamt handlandet har varit som gör att system med sanktionsavgifter anses vara så effektiva (se t.ex. prop. 2017/18:232 s. 324). För att inte den fördelen ska gå förlorad bör verksamhetsutövaren ha ett strikt ansvar för sådana överträdelser som kan föranleda att sanktionsavgift tas ut. Det är också svårt att se att överträdelser i normalfallet kan bero på annat än uppsåt eller oaktsamhet (jfr regleringens riktlinjer för att använda sanktionsavgift, prop. 1981/82:142 s. 24 och 25).
Lagrådet har uttalat att skrivningar om att avgiftsskyldigheten bygger på strikt ansvar inte bör tas med i författningstext. I motsats till vad som gäller för straffbestämmelser finns det nämligen inte något formellt krav på uppsåt eller oaktsamhet för att besluta om sanktionsavgift (jfr prop. 2012/13:55 s. 142). Det finns därför inget skäl att uttryckligen föreskriva att ansvaret ska vara strikt.
Det bör vara obligatoriskt att ta ut sanktionsavgift
Strikt ansvar medför inte nödvändigtvis att sanktionsavgift måste tas ut vid varje överträdelse. En viktig fråga är därför om det ska vara obligatoriskt att ta ut sanktionsavgift när en viss bestämmelse har överträtts. Bestämmelser om sanktionsavgift är oftast obligatoriska, men den motsatta lösningen förekommer också. Som exempel på de två olika varianterna kan man nämna den nya brottsdatalagen, där
439
Sanktioner SOU 2018:82
det inte är obligatoriskt att ta ut sanktionsavgift vid varje överträdelse, och den nya NIS-lagen, där ansvaret är obligatoriskt.
I förarbetena till NIS-lagen anförde regeringen, som skäl för ett obligatoriskt ansvar, att tillsynsmyndighetens möjligheter till mer skönsmässiga bedömningar som utgångspunkt bör vara begränsade med hänsyn till behovet av likabehandling, objektivitet och proportionalitet (prop. 2017/18:205 s. 69 och 70). Vidare anfördes att behovet av att säkerställa likabehandling är särskilt starkt när det gäller sanktionsavgifter enligt NIS-lagen eftersom utgångspunkten är att flera tillsynsmyndigheter ska tillämpa bestämmelserna. Som tidigare framgått landade regeringen i bedömningen att bestämmelserna om sanktionsavgift därför skulle formuleras på så sätt att sanktionsavgift ska tas ut om förutsättningarna för det är uppfyllda. Tillsynsmyndigheten har dock getts en möjlighet att i vissa fall helt eller delvis efterge sanktionsavgiften.
Motsatt bedömning har gjorts i fråga om överträdelser av den nya personuppgiftsregleringen i brottsdatalagen. Regeringen framhöll i propositionen att reglerna om personuppgiftsbehandling är mycket komplexa och det nya regelverket inte kommer att förenkla tillämpningen (prop. 2017/18:232 s. 324 och 325). Regeringen ansåg att det skulle ställa alltför höga krav på de personuppgiftsansvariga och lägga en orimlig börda på tillsynsmyndigheten om varje överträdelse av en viss bestämmelse skulle leda till att sanktionsavgift tas ut. Det ansågs t.ex. inte rimligt att ålägga en myndighet sanktionsavgift för att någon i enstaka fall behandlat en personuppgift felaktigt, även om det kan vara djupt kränkande. Däremot borde man enligt regeringen kunna överväga sanktionsavgift i fall där det satts i system att göra sådana behandlingar eller om påpekanden om att det krävs utbildning för att undvika sådant felbeteende inte följs. Enligt regeringen bör det således ligga hos den som har till uppgift att besluta om avgiften att avgöra om en överträdelse är så allvarlig eller systematisk att sanktionsavgift bör tas ut. Med hänsyn till det anförda utformades bestämmelsen så att det inte är obligatoriskt att besluta om sanktionsavgift.
När det gäller säkerhetsskyddslagen gör vi samma bedömning som gjorts i fråga om överträdelser av NIS-lagen. Vi anser att övervägande skäl talar för att det på säkerhetsskyddsområdet bör vara obligatoriskt att besluta om sanktionsavgift när förutsättningarna
440
SOU 2018:82 Sanktioner
för det är uppfyllda. Detta minskar utrymmet för skönsmässiga bedömningar av tillsynsmyndigheten och är dessutom bäst förenligt med att vi enbart föreslår sanktionsavgift för mer centrala överträdelser av säkerhetsskyddsreglerna. En sådan utformning innebär också att det inte bör införas ett krav på att ett beslut om sanktion alltid ska föregås av ett åtgärdsföreläggande. Tillsynsmyndigheten bör dock ha möjlighet att under vissa förutsättningar efterge sanktionsavgiften helt eller delvis, se avsnitt 9.12.
9.10 Tillsynsmyndigheten ska besluta om sanktionsavgift
Förslag: Tillsynsmyndigheten beslutar om sanktionsavgift.
Beslut om sanktionsavgift fattas som huvudregel av en tillsynsmyndighet eller av domstol efter ansökan från tillsynsmyndigheten. Generellt sett anses en tillsynsmyndighet lämpad att besluta om sanktionsavgift när reglerna är relativt enkla att tillämpa, beslutsfattandet är förhållandevis schabloniserat och sanktionsbestämmelserna bygger på strikt ansvar. En domstol brukar anses mer lämpad att besluta om sanktionsavgift om det är aktuellt att pröva subjektiva rekvisit eller andra svårbedömda rekvisit (se t.ex. prop. 2017/18:205 s. 68).
En tillsynsmyndighet har genom tillsynsansvaret en god inblick i verksamheten och är väl förtrogen med regelverket om säkerhetsskydd. Tillsynsmyndigheten har också goda förutsättningar att upptäcka överträdelser av säkerhetsskyddsbestämmelserna. Vi lämnar i kapitel 8 förslag till en delvis ny tillsynsstruktur. Mot bakgrund av sin sakkunskap bör de föreslagna tillsynsmyndigheterna ha eller genom t.ex. kompetensutveckling kunna skaffa sig goda förutsättningar att bedöma överträdelser av regelverket (jfr resonemangen i SOU 2013:38 s. 546). Våra förslag bygger på en ordning med strikt ansvar, utan krav på uppsåt eller oaktsamhet. De anförda förhållandena talar för att beslutet om sanktionsavgift bör fattas av respektive tillsynsmyndighet. En sådan ordning skulle dessutom ha viktiga fördelar. En sådan fördel är att handläggningen blir snabbare eftersom en domstol inte måste involveras i hanteringen. Erfarenheter av sanktionsavgifter från andra områden talar för att systemet används betydligt mer när myndigheterna själva kan fatta beslutet jämfört
441
Sanktioner SOU 2018:82
med situationer där myndigheterna måste ansöka hos domstol. Erfarenheten visar dessutom att det är ovanligt att sanktionsavgiftsbeslut som meddelas av en myndighet överklagas och att ändringsfrekvensen är låg i de fall som överklagas (se SOU 2014:83 s. 105).
Med hänsyn till det anförda bör det enligt vår mening vara tillsynsmyndigheten som bestämmer om sanktionsavgift ska tas ut i det enskilda fallet och hur hög avgiften i så fall ska vara. Enligt våra förslag i avsnitt 8.7.6 ska Säkerhetspolisen och Försvarsmakten ha möjlighet att ta över tillsynsansvaret för ett visst tillsynsobjekt om det finns särskilda skäl. Det innebär att Säkerhetspolisen respektive Försvarsmakten då övertar de befogenheter som normalt tillkommer tillsynsmyndigheten, däribland befogenheten att meddela sanktionsavgift.
När sanktionsavgift ska tas ut av någon som inte är verksamhetsutövare bör det vara den tillsynsmyndighet som utövar tillsyn över den verksamhet som överlåtelsen avser som beslutar om sanktionsavgift.
9.11 Sanktionsavgiftens storlek
Förslag: Sanktionsavgiften ska bestämmas till lägst 5 000 kronor
och högst 10 miljoner kronor.
Sanktionsavgifter kan vara utformade som på förhand bestämda belopp eller beloppsintervall, som gäller oavsett vem som begått överträdelsen, eller vara kopplade till årsomsättning i näringsverksamhet. Det viktiga är att sanktionsavgifterna är effektiva, proportionerliga och avskräckande.
Säkerhetsskyddslagens bestämmelser kommer att omfatta såväl myndigheter som företag. Aktörerna kommer att skilja sig mycket från varandra vad gäller t.ex. storlek och ekonomiska förutsättningar. Detta innebär att vad som upplevs som en avskräckande avgift av en aktör med måttliga ekonomiska resurser kan framstå som i det närmaste obetydlig för en aktör med stora resurser. Skillnaderna kommer att finnas mellan aktörer i olika sektorer såväl som mellan aktörer inom samma sektor.
442
SOU 2018:82 Sanktioner
Med hänsyn främst till att många av de aktörer som omfattas av bestämmelserna är myndigheter bedömer vi att det inte är lämpligt att koppla sanktionsavgiften till omsättning, utan att ett system med bestämda beloppsintervall är att föredra (jfr bedömningen i prop. 2017/18:205 s. 70 och 71). För att sanktionsavgifterna ska vara effektiva, proportionerliga och avskräckande bör intervallet för sanktionsavgiften vara förhållandevis stort. Tillsynsmyndigheten får då möjlighet att göra en nyanserad bedömning när avgiftens storlek ska bestämmas. Vid bestämmandet av vilka beloppsintervall som bör gälla finns det skäl att titta på vad som gäller enligt vissa andra regelverk.
Sanktionsavgifter på andra områden
Inom svensk lagstiftning finns i dag sanktionsavgifter på ett antal områden. Dataskyddsförordningen
1
började tillämpas den 25 maj 2018
och utgör därefter grunden för generell personuppgiftsbehandling inom EU. Enligt dataskyddsförordningen kan sanktionsavgifter tas ut för överträdelse enligt två nivåer – en lägre nivå vid överträdelser som betraktas som mindre allvarliga och en högre nivå vid allvarligare överträdelser. För de olika nivåerna gäller maximibelopp på 10 miljoner euro respektive 20 miljoner euro. Enligt den nya lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning (dataskyddslagen) ska sanktionsavgifter även kunna tas ut av statliga och kommunala myndigheter. Avgifterna ska enligt förslaget uppgå till högst 5 miljoner kronor för mindre allvarliga överträdelser och till högst 10 miljoner kronor för allvarligare överträdelser.
Sanktionsavgifter enligt brottsdatalagen har olika nivå beroende på vilken överträdelse det är fråga om. Vid vissa överträdelser ska sanktionsavgiften bestämmas till högst 5 miljoner kronor och vid andra överträdelser till högst 10 miljoner kronor. Om flera bestämmelser har överträtts genom samma personuppgiftsbehandling, eller om en eller flera bestämmelser har överträtts genom sammankopplade personuppgiftsbehandlingar, ska sanktionsavgiften bestämmas efter överträdelsernas allvar. Sanktionsavgiften får aldrig överstiga maximibeloppet för den allvarligaste överträdelsen.
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
443
Sanktioner SOU 2018:82
Enligt NIS-lagen gäller att det lägsta belopp som ska beslutas i sanktionsavgift är 5 000 kronor och det högsta beloppet är 10 miljoner kronor. I propositionen anförde regeringen att det krävs att maximibeloppet sätts relativt högt för att sanktionsavgiften ska få en tillräckligt avskräckande effekt för alla aktörer som omfattas av den nya lagens bestämmelser (prop. 2017/18:205 s. 71). Enligt regeringens bedömning utgör en avgift om 10 miljoner kronor en effektiv, proportionell och avskräckande sanktion också mot allvarliga överträdelser.
Även på det finansiella området finns det bestämmelser om sanktionsavgifter. Som ett exempel kan nämnas lagen (2007:528) om värdepappersmarknaden, som innehåller bestämmelser om sanktionsavgifter för ett värdepappersinstitut, en börs, en leverantör av datarapporteringstjänster eller en clearingorganisation. Avgiften ska fastställas till högst det högsta av ett belopp som per den 2 juli 2014 i kronor motsvarade fem miljoner euro alternativt tio procent av företagets omsättning eller, i förekommande fall, motsvarande omsättning på koncernnivå närmast föregående räkenskapsår, eller två gånger den vinst som företaget gjort till följd av regelöverträdelsen, om beloppet går att fastställa. Sanktionsavgiften får inte bestämmas till ett lägre belopp än 5 000 kronor.
Vår bedömning
Överträdelser av säkerhetsskyddslagstiftningen kan leda till synnerligen allvarlig skada för Sveriges säkerhet. Utredningens bedömning är därför att maximibeloppet måste sättas så högt att det får en tillräckligt avskräckande effekt. Sanktionsavgiften måste också vara så hög att ansvariga för säkerhetskänslig verksamhet inte räknar in avgiften som en ren affärskostnad. Enligt vår mening ligger det närmast till hands att göra jämförelser med de belopp som kan komma i fråga vid allvarliga överträdelser av dataskyddslagen eller överträdelser av NIS-lagen. Med hänsyn till det anförda anser vi att maximibeloppet bör bestämmas till 10 miljoner kronor. Samtidigt bör det finnas ett brett spann för att sanktionsavgiften ska kunna bestämmas till ett proportionerligt belopp vid mindre allvarliga överträdelser. Spannet bör vara brett även med tanke på att bl.a. aktieägare, som
444
SOU 2018:82 Sanktioner
kan vara fysiska personer, kan åläggas sanktionsavgift. Den nedersta gränsen kan då lämpligen bestämmas till 5 000 kronor.
9.12 Hur sanktionsavgiften ska bestämmas i det enskilda fallet
Förslag: När sanktionsavgiftens storlek bestäms ska särskild hän-
syn tas till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, till om den avgiftsskyldige tidigare begått en överträdelse och till de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen.
Sanktionsavgiften får efterges helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
När storleken på sanktionsavgiften ska bestämmas i det enskilda fallet bör hänsyn tas till alla relevanta omständigheter. Det är inte möjligt att i lagen ange samtliga relevanta omständigheter som kan behöva beaktas i enskilda fall. Vi bedömer dock att lagen bör innehålla en bestämmelse som anger omständigheter som särskilt ska beaktas. De omständigheter som är särskilt viktiga att beakta och som alltså bör tas in i lagen är enligt vår mening den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, om den avgiftsskyldige tidigare har begått en överträdelse och de kostnader som den avgiftsskyldige undvikit till följd av överträdelsen.
Exempel på omständigheter som kan komma att påverka beloppets storlek men som enligt vår mening inte behöver tas in i lagen är hur länge överträdelsen pågått. Om den avgiftsskyldige tidigare gjort sig skyldig till överträdelse av lagen kan det bli aktuellt att beakta om överträdelserna är likartade samt den tid som har gått mellan de olika överträdelserna. Det kan också vara relevant att beakta bestämmelsens betydelse för tillsynsområdet. Vissa omständigheter kan det finnas anledning att beakta i mildrande riktning. Att en verksamhet aktivt samarbetat med tillsynsmyndigheten för att komma till rätta med överträdelser kan vara en sådan omständighet samt om verksamheten snabbt har vidtagit rättelse (jfr t.ex. 15 kap. lagen om bankoch finansieringsrörelse och prop. 2016/17:22 s. 220 och 221).
445
Sanktioner SOU 2018:82
Jämkning och eftergift
Att avgiftsskyldigheten bygger på strikt ansvar innebär att det behöver finnas en möjlighet för tillsynsmyndigheten att underlåta att besluta om sanktionsavgift. Det bör därför införas en bestämmelse som ger tillsynsmyndigheten utrymme att jämka eller helt efterge avgiften i fall där det inte framstår som rimligt och proportionerligt att ta ut avgift. En situation som kan innebära att det framstår som oskäligt att besluta om sanktionsavgift är om en verksamhetsutövare drabbas av sanktionsavgift enligt något annat regelverk för i princip samma brist. Bestämmelser om säkerhetsåtgärder och sanktionsavgifter för den som bryter mot dessa bestämmelser finns t.ex. i den tidigare nämnda dataskyddsförordningen och dataskyddslagen, NISlagen samt i speciallagstiftning i de olika sektorerna. Om regelverket överträtts på ett sådant sätt att det har varit närmast omöjligt för verksamhetsutövaren att upptäcka överträdelsen skulle överträdelsen kunna anses ursäktlig och det därför kunna finnas grund för jämkning. Ett annat exempel skulle kunna vara att utredningen visar att verksamhetsutövaren gjort en omsorgsfull analys av t.ex. behovet av säkerhetsskyddsåtgärder men ändå landat i en felaktig bedömning. Även i ett sådant fall kan överträdelsen framstå som ursäktlig, varför det kan finnas grund för att jämka sanktionsavgiften.
Möjligheten att sätta ner avgiften bör tillämpas restriktivt och endast när det skulle te sig oskäligt att ta ut avgiften.
9.13 Hinder mot sanktionsavgift
Förslag: Tillsynsmyndigheten får inte ingripa med sanktions-
avgift om överträdelsen omfattas av ett föreläggande om vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.
Enligt Europakonventionen och EU:s stadga om de grundläggande rättigheterna finns en rätt att inte bli lagförd eller straffad två gånger för samma brott (gärning), det s.k. dubbelbestraffningsförbudet. Som regeringen har konstaterat i flera lagstiftningsärenden får begreppet straff i den mening som avses i Europakonventionen anses omfatta vite (se prop. 2007/08:107 s. 24 och prop. 2012/13:143 s. 69).
446
SOU 2018:82 Sanktioner
Om ett vite har dömts ut bör det därför inte vara möjligt att besluta om en sanktion – administrativ eller straffrättslig – för samma sak. Den avgörande tidpunkten för när sådant hinder uppkommer bör anses vara när det inleds en domstolsprocess angående frågan om utdömande av vite (jfr prop. 2016/17:22 s. 228). Ett föreläggande om vite bör därför inte hindra ett senare ingripande med sanktionsavgift så länge som tillsynsmyndigheten inte har ansökt om utdömande av vitet. När tillsynsmyndigheten har ansökt om utdömande av vitet bör tillsynsmyndigheten dock vara förhindrad att besluta om sanktionsavgift för en överträdelse som omfattas av vitesföreläggandet. En bestämmelse om detta bör tas in i säkerhetsskyddslagen.
9.14 Förfarandet vid beslut om sanktionsavgift
Förslag: Sanktionsavgift får inte beslutas om den som anspråket
riktas mot inte har getts tillfälle att yttra sig inom två år efter överträdelsen. Ett beslut om sanktionsavgift ska delges.
Sanktionsavgiften ska betalas till tillsynsmyndigheten inom 30 dagar från det att beslutet om att ta ut avgiften har fått laga kraft eller inom den längre tid som anges i beslutet. Om sanktionsavgiften inte betalas inom denna tid, får tillsynsmyndigheten lämna den obetalda avgiften för indrivning. Vid indrivning får verkställighet ske enligt utsökningsbalken. En beslutad sanktionsavgift faller bort till den del beslutet om avgiften inte har verkställts inom fem år från det att beslutet fick laga kraft. Sanktionsavgifter tillfaller staten.
Beslut om administrativa sanktionsavgifter är en särskilt ingripande åtgärd. I likhet med vad som gäller enligt bl.a. NIS-lagen bör sådana beslut därför delges den betalningsskyldige enligt delgivningslagen (2010:1932). En bestämmelse om detta bör tas in i säkerhetsskyddslagen.
Enligt NIS-lagen gäller att sanktionsavgift inte får beslutas om den som anspråket riktas mot inte har getts tillfälle att yttra sig inom två år från överträdelsen. I propositionen angav regeringen att en sådan gräns bör finnas på grund av sanktionsavgiftens ingripande natur (prop. 2017/18:205 s. 74). Samma skäl gör sig gällande i fråga om sanktionsavgift för överträdelser av säkerhetsskyddsregleringen.
447
Sanktioner SOU 2018:82
Vi anser därför att det bör gälla en bortre tidsgräns för när en sanktionsavgift får beslutas och att två år är en rimlig sådan gräns. En bestämmelse med motsvarande innebörd som i den nyss nämnda lagen bör alltså införas i säkerhetsskyddslagen. Liksom i andra liknande fall bör bevisbördan för att kommunikation har skett ligga på tillsynsmyndigheten (jfr prop. 2017/18:205 s. 74).
Betalning, indrivning och preskription
För att regleringen om sanktionsavgifter ska bli tillräckligt handlingsdirigerande och effektiv bör den avgift som tillsynsmyndigheten beslutat kunna drivas in utan att det krävs något domstolsavgörande. Vi föreslår att därför att det föreskrivs att betalning av sanktionsavgift ska ske till tillsynsmyndigheten inom 30 dagar från det att beslutet om sanktionsavgift vann laga kraft eller annars inom den längre tid som anges i beslutet. Det bör vidare föreskrivas att tillsynsmyndigheten ska lämna den obetalda avgiften för indrivning om avgiften inte betalas inom denna tid.
I allmänhet gäller för den här typen av avgifter att de preskriberas i den utsträckning verkställighet inte har skett inom fem år. Vi bedömer att det saknas anledning att införa annan preskriptionstid än den som i allmänhet används. Preskriptionstiden bör därför vara fem år.
Sanktionsavgiften bör tillfalla staten.
9.15 Överklagande
Förslag: Tillsynsmyndighetens beslut om sanktionsavgift får över-
klagas till Förvaltningsrätten i Stockholm. Vid ett sådant överklagande är tillsynsmyndigheten motpart i domstolen. Prövningstillstånd krävs vid överklagande till kammarrätten.
En tillsynsmyndighets beslut om sanktionsavgift måste kunna överklagas. Eftersom det är fråga om ett förvaltningsbeslut bör överklagande ske till allmän förvaltningsdomstol. Med hänsyn till erfarenheterna från andra områden där tillsynsmyndigheter får besluta om sanktionsavgift kan det förväntas att överklagande bara kommer att ske i begränsad omfattning. Med hänsyn till det, till frågornas ytterst
448
SOU 2018:82 Sanktioner
känsliga natur och till att det finns ett tydligt behov av specialisering för den som ska hantera dessa mål, bör målen koncentreras till en domstol. Vi gör här samma bedömning som vi har gjort om överklagande av förelägganden enligt säkerhetsskyddslagen, och föreslår att koncentration lämpligen kan ske till Förvaltningsrätten i Stockholm, som redan handhar ett stort antal stora och komplicerade mål på likartade områden, däribland mål som rör lagen (2003:389) om elektronisk kommunikation. Prövningstillstånd bör krävas vid överklagande till kammarrätten.
Formerna för överklagande av tillsynsmyndighetens beslut, vilken överklagandefrist som ska gälla, vem som har talerätt m.m., bör i övrigt inte avvika från förvaltningslagens bestämmelser. Vi föreslår därför inte några särskilda bestämmelser om detta. Av tydlighetsskäl bör det dock framgå av bestämmelsen att tillsynsmyndigheten har ställning som motpart i ett mål hos domstolen som gäller överklagande av tillsynsmyndighetens beslut.
9.16 Ett nytt kapitel i säkerhetsskyddslagen
Förslag: Bestämmelserna om sanktioner införs i ett nytt 4 b kap.
i nya säkerhetsskyddslagen.
I detta kapitel föreslår vi ett helt nytt regelverk om sanktioner. De nya bestämmelserna bör föras in i det nya 4 b kap. säkerhetsskyddslagen som vi föreslår i avsnitt 8.18.
449
10 Ikraftträdande- och övergångsbestämmelser
Förslag: De bestämmelser som föreslås i betänkandet ska träda
i kraft den 1 januari 2021. Ärenden om samråd som har inletts hos Säkerhetspolisen eller Försvarsmakten före ikraftträdandet ska handläggas enligt äldre föreskrifter. Bestämmelserna om sanktionsavgift ska endast tillämpas på överträdelser som har ägt rum eller pågår efter ikraftträdandet.
Bedömning: Det finns inte skäl för senare ikraftträdande av be-
stämmelserna om vitesförläggande och sanktionsavgift.
10.1 Ikraftträdande
10.1.1 Allmänna överväganden
Vår kartläggning visar att det finns omfattande brister inom säkerhetsskyddet. Samtidigt konstaterar vi att teknikutvecklingen ökar Sveriges sårbarhet och att främmande makt visar större intresse för verksamheter som är av betydelse för Sveriges säkerhet. Det finns därför tungt vägande skäl för att förslagen i detta betänkande ska träda i kraft så snart som möjligt.
Samtidigt finns det omständigheter som talar för ett senare ikraftträdande. En sådan omständighet är att våra förslag medför ett betydande behov av rekrytering, framför allt hos de föreslagna tillsynsmyndigheterna. Flera av myndigheterna har påpekat att det råder stor brist på adekvat arbetskraft och att införandet av våra förslag kan komma att fördröjas på grund av svårigheten att rekrytera. I konsekvensanalysen understryker vi behovet av att omgående
451
Ikraftträdande- och övergångsbestämmelser SOU 2018:82
ta initiativ för att möta utbildningsbehovet. En annan omständighet som talar för ett något senare ikraftträdande är att den allmänna kunskapen om säkerhetsskyddet måste öka för att förslagen ska få genomslag. Införandet av nya eller ändrade bestämmelser måste alltså kombineras med en ökad förståelse för vad säkerhetsskyddet är och syftar till att uppnå. I konsekvensanalysen berör vi behovet av särskilda informationsinsatser. Ytterligare en omständighet som är relevant för ikraftträdandet är att det behöver utfärdas ytterligare föreskrifter, bl.a. när det gäller formerna för tillsyn.
Mot bakgrund av ovanstående, samt den tid som kan beräknas för remissförfarande, fortsatt beredning inom Regeringskansliet och riksdagsbehandling, bör bestämmelserna kunna träda i kraft tidigast den 1 januari 2021. Det bör dock framhållas att detta datum för ikraftträdande förutsätter att det snarast avsätts medel och vidtas åtgärder som adresserar de omständigheter som vi har pekat på i det föregående.
10.1.2 Särskilt om vitesförelägganden och sanktionsavgift
Vi föreslår att verksamhetsutövare ska kunna bli föremål för vitesförelägganden och sanktionsavgifter. En fråga som aktualiserats i utredningen är om det finns skäl för ett senare ikraftträdandedatum för möjligheten att förena förelägganden med vite samt för sanktionsavgifter. En möjlig fördel med ett senare ikraftträdande skulle kunna vara att relationen mellan tillsynsmyndigheterna och tillsynsobjekten under en övergångsfas kan bli mindre inriktad på kontroll och få ett större inslag av rådgivning. Vi menar dock att nackdelarna med ett senare ikraftträdande väger betydligt tyngre. För det första passar en sådan tillfällig lösning inte in i det system vi föreslår, där tillsynen får en mer traditionell inriktning. Vi menar att detta system har viktig en pedagogisk poäng genom att understryka verksamhetsutövarens ansvar för sin verksamhet och dess skyddsvärden. Det leder oss till den andra invändningen, nämligen att ett senare ikraftträdande skulle kunna få den effekten att det fördröjer verksamhetsutövarnas arbete med att stärka sitt säkerhetsskydd och att vidta nödvändiga åtgärder. Det finns exempel i närtid där verksamhetsutövare inte har hörsammat tillsynsmyndighetens tydliga rekommendationer att vidta åtgärder, trots att verksamhetsutövares agerande medfört
452
SOU 2018:82 Ikraftträdande- och övergångsbestämmelser
potentiellt allvarliga konsekvenser för Sveriges säkerhet. Såväl vitesförelägganden som beslut om sanktionsavgift är väsentliga påtryckningsmedel för att få till den ambitionshöjning som enligt vår mening måste uppnås. Möjligheterna till ingripanden som skapas genom vitesförelägganden och sanktionsavgift är angelägna och behöver finnas på plats så snart som möjligt. Vi menar därför att övervägande skäl talar för att dessa bestämmelser bör träda i kraft samtidigt som övriga föreslagna bestämmelser.
Möjligheten att besluta om vitesförelägganden och sanktionsavgift bör enligt vår mening också ses i ljuset av det handlingsutrymme som tillkommer tillsynsmyndigheten. Att förena åtgärdsförelägganden med vite är en möjlighet men ingen skyldighet. Som vi har utvecklat i avsnitt 8.11 är tanken att åtgärdsförelägganden ska kunna förenas med vite när det är fråga om allvarliga brister. Vidare anger vi i avsnitt 9.12 att sanktionsavgifter ska få sättas ned helt eller delvis om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften. Vad som nu anförts visar alltså att det finns förutsättningar för tillsynsmyndigheten att göra väl avvägda bedömningar i varje enskilt fall. Även detta talar emot ett senare ikraftträdande av förslagen om vitesförelägganden och sanktioner.
10.2 Övergångsbestämmelser
10.2.1 Säkerhetsskyddsavtal
Huvudprincipen i svensk rätt är att civilrättslig lagstiftning inte ska ges retroaktiv verkan. Det har enligt vår mening inte framkommit skäl för att göra avsteg från denna princip och låta nu aktuella bestämmelser bli tillämpliga på säkerhetsskyddsavtal som ingåtts före ikraftträdandet. Någon särskild övergångsbestämmelse behövs därför inte när det gäller våra förslag som säkerhetsskyddsavtal.
Våra förslag innebär bl.a. att tillsynsmyndigheten ska kunna agera mot verksamhetsutövare som inte fullgör sina skyldigheter enligt säkerhetsskyddslagen (2018:585) eller föreskrifter som meddelats i anslutning till lagen. Det kan t.ex. ske genom åtgärdsförelägganden om att vidta säkerhetsskyddsåtgärder. Vi föreslår också att tillsynsmyndigheten får möjlighet att ingripa i pågående förfaranden under vissa förutsättningar. Denna typ av åtgärder kan därmed få den effekten
453
Ikraftträdande- och övergångsbestämmelser SOU 2018:82
att redan ingångna säkerhetsskyddsavtal måste ändras för att tillgodose kraven i lagstiftningen.
10.2.2 Samråd
För statliga myndigheter gäller enligt 2 kap. 6 § säkerhetsskyddsförordningen (2018:658), i detta betänkande kallad nya säkerhetsskyddsförordningen, ett krav på samråd för vissa typer av upphandlingar. Ett sådant krav finns också enligt 16 a § säkerhetsskyddsförordningen (1996:633), i betänkandet kallat gamla säkerhetsskyddsförordningen. Tillämpningsområdet för dessa paragrafer överlappar delar av våra förslag i avsnitt 6.8. Enligt vår mening är det lämpligt att samråd som har inletts innan ikraftträdandet får slutföras i enlighet den ordning som då gällde. Äldre föreskrifter bör alltså fortsätta gälla i fråga om samråd som har inletts före ikraftträdandet. Detta behöver komma till uttryck i en övergångsbestämmelse. För övriga verksamhetsutövare bör våra förslag om samråd i avsnitt 6.8 gälla från ikraftträdandet. Detta innebär att upphandlingar eller andra förfaranden som har inletts före ikraftträdandet inte träffas av de nya bestämmelserna. Detsamma bör gälla förslaget om samråd vid överlåtelse i avsnitt 7.10. Detta behöver inte anges särskilt.
10.2.3 Vitesförelägganden
Ett vitesföreläggande är inte kopplat till en tidigare överträdelse utan till skyldigheten att vidta en viss åtgärd inom den tidsfrist som anges i föreläggandet (se 2 § lagen [1985:206] om viten). Föreläggandet är alltså en framåtsyftande åtgärd. Vi bedömer därför att införande av bestämmelser om vitesförelägganden inte aktualiserar retroaktivitetsförbudet i 2 kap. 10 § regeringsformen. Någon särskild övergångsbestämmelse behövs därför inte för vitesförelägganden.
10.2.4 Sanktionsavgift
I 2 kap. 10 § regeringsformen finns ett förbud mot retroaktiv straffoch skattelagstiftning. Förbudet mot retroaktiv skattelagstiftning anses analogivis tillämpligt på straffliknande administrativa påföljder
454
SOU 2018:82 Ikraftträdande- och övergångsbestämmelser
(se prop. 1975/76:209 s. 125). Att ta ut sanktionsavgifter för överträdelser som inträffat före ikraftträdandet av våra förslag skulle alltså strida mot retroaktivitetsförbudet. Sanktionsavgifter ska därför bara tas ut för överträdelser som har ägt rum efter ikraftträdandet, eller som fortfarande är pågående vid den tidpunkten. Detta behöver anges i en övergångsbestämmelse.
10.2.5 Tillsynsmyndighetens möjlighet att ingripa i efterhand
I avsnitt 6.9 föreslår vi att tillsynsmyndigheten ska kunna förelägga en verksamhetsutövare att vidta de åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Det krävs dock att det är fråga om ett pågående förfarande som omfattas av kravet på säkerhetsskyddsavtal och som är olämpligt från säkerhetsskyddssynpunkt. Avsikten är att denna bestämmelse ska kunna tillämpas på alla förfaranden som omfattas av kravet på säkerhetsskyddsavtal. Följaktligen kan bestämmelsen även tillämpas på förfaranden som inletts innan tidpunkten för ikraftträdande. Detta följer direkt av bestämmelsens ordalydelse och det finns alltså inget behov av någon övergångsbestämmelse för den föreslagna bestämmelsen.
10.2.6 Tvångsåtgärder
I avsnitt 6.12 och 7.13 lämnar vi förslag om att tillsynsmyndigheten ska kunna ansöka om tvångsåtgärder i allmän domstol i vissa fall. För att tvångsåtgärder ska få beslutas ska det krävas att åtgärden behövs för att ändamålet med ett förbud eller föreläggande som fattats enligt förslaget till 2 a kap. säkerhetsskyddslagen inte ska motverkas.
Kopplingen till 2 a kap. säkerhetsskyddslagen innebär att tvångsåtgärder kan komma att aktualiseras efter beslut om förbud och förelägganden i anslutning till samrådsförfarandena och efter beslut om föreläggande när en tillsynsmyndighet ingriper i ett pågående förfarande. Det är därmed ikraftträdandet av bestämmelserna om samråd och möjligheten att ingripa i efterhand, som behandlas ovan, som avgör när tvångsåtgärderna kan komma att aktualiseras. Någon övergångsbestämmelse för den föreslagna bestämmelsen om tvångsåtgärder behövs därför inte.
455
11 Konsekvenser
11.1 Kommittéförordningens och utredningsdirektivens krav
I vårt uppdrag ingår att analysera konsekvenserna av lämnade förslag i enlighet med 14–15 a §§kommittéförordningen (1998:1474). Eftersom vi lämnar författningsförslag ska konsekvensanalysen också göras i enlighet med 6 och 7 §§ förordningen (2007:1244) om konsekvensutredning vid regelgivning (15 a § kommittéförordningen).
En konsekvensanalys ska bl.a. innehålla en beskrivning av identifierade problem och vad som ska uppnås med en viss regeländring, vilka alternativa lösningar som finns för att uppnå det önskade resultatet samt vilka som berörs av regleringen (6 § 1–3 förordningen om konsekvensutredning vid regelgivning). I betänkandet har vi kontinuerligt beskrivit problem och möjliga skadekonsekvenser inom de områden vi haft att kartlägga, lämnat förslag på åtgärder samt presenterat alternativa lösningar. Det som sagts där upprepas inte i detta kapitel.
Övriga krav enligt 14–15 a §§kommittéförordningen och 6 och 7 §§ förordningen om konsekvensutredning vid regelgivning behandlas i det följande.
Utöver ovanstående författningskrav följer det av våra direktiv att vi ska bedöma de ekonomiska konsekvenserna av förslagen för enskilda och det allmänna, i synnerhet för de myndigheter som är eller föreslås bli tillsynsmyndigheter, samt konsekvenserna i övrigt av förslagen. Det framgår också i direktiven att om något av förslagen i betänkandet påverkar det kommunala självstyret så ska, utöver dess konsekvenser, också de särskilda avvägningar som lett fram till förslagen särskilt redovisas. En sådan bedömning ska också göras om något av förslagen i betänkandet kan komma att påverka enskilda.
457
Konsekvenser SOU 2018:82
Slutligen anges det i direktiven att om utredaren överväger förslag som kan påverka egendomsskyddet eller näringsfriheten ska förslagen analyseras i förhållande till dessa bestämmelser. Hur våra förslag förhåller sig till egendomsskyddet och näringsfriheten behandlas i avsnitt 3.6, 6.13 och 7.14 och upprepas inte här.
11.2 Utgångspunkter och underlag för konsekvensanalysen
Parallellt med vårt arbete med detta betänkande har en ny säkerhetsskyddslag (2018:585) och en ny säkerhetsskyddsförordning (2018:658) beslutats. Enligt direktiven ska våra förslag komplettera de förslag som lämnades i betänkandet En ny säkerhetsskyddslag (SOU 2015:25) som resulterade i den nya säkerhetsskyddslagen. Den gamla säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633) kommer dock att gälla till dess att den nya regleringen träder i kraft den 1 april 2019.
Särskilda osäkerhetsfaktorer
Det kan redan nu nämnas att det är förenat med vissa svårigheter att analysera konsekvenser av förslag som ska komplettera ett regelsystem som ännu inte trätt i kraft. Det beror på att konsekvenserna till viss del följer av hur den nya säkerhetsskyddsregleringen kommer att tolkas och tillämpas. Av naturliga skäl finns det i skrivande stund inga uppgifter om varken tillämpning eller effekter av den nya regleringen. Detta medför att felmarginalen i analysen blir större än om det skulle handla om förslag som kompletterar ett befintligt regelsystem.
Ytterligare en osäkerhetsfaktor är att det i skrivande stund inte utfärdats några föreskrifter som kompletterar nya säkerhetsskyddslagen och nya säkerhetsskyddsförordningen. Det innebär att det efter att detta betänkande överlämnats kan tillkomma bestämmelser som vi inte har haft möjlighet att beakta i vår konsekvensanalys.
458
SOU 2018:82 Konsekvenser
Analysen utgår ifrån den nya regleringen
Konsekvensanalysen utgår från nya säkerhetsskyddslagen och nya säkerhetsskyddsförordningen, oaktat att vi i tidigare kapitel i betänkandet har fört resonemang om såväl den gamla som den nya regleringen. Det betyder i sin tur att konsekvenserna för de aktörer som träffas av säkerhetsskyddsregleringen kommer att göras med utgångspunkt i vad som gäller per den 1 april 2019 när den nya regleringen träder i kraft.
Vissa anmärkningar om tillsynsmyndigheterna
I avsnitt 11.3 redogör vi för vilka aktörer som berörs av våra förslag. Bland dessa står tillsynsmyndigheterna ut såsom särskilt berörda. För att på ett meningsfullt sätt kunna beskriva konsekvenserna för de föreslagna tillsynsmyndigheterna har vi låtit dem uppskatta hur många aktörer som bedriver säkerhetskänslig verksamhet inom deras tillsynsområde (tillsynsobjekt) och hur många årsarbetskrafter som behövs för att de ska kunna utöva tillsyn enligt våra förslag. Några av de föreslagna tillsynsmyndigheterna bedriver redan tillsyn över säkerhetsskyddet. De har då ombetts att uppskatta antalet årsarbetskrafter som tillkommer i förhållande till regleringen som träder i kraft den 1 april 2019.
Ett problem som vi beskrivit i avsnitt 8.4.6, och som även får följder för konsekvensanalysen, är att tillsyn över säkerhetsskyddet hittills har bedrivits i relativt begränsad omfattning och att flera tillsynsmyndigheter inte har bedrivit någon tillsyn. När de föreslagna tillsynsmyndigheterna på vår begäran har uppskattat resursbehovet för att utöva tillsyn enligt våra förslag kan det därför i vissa fall framstå som att förslagen i detta betänkande genererar hela behovet av resurser, trots att vissa myndigheter redan har ansvar för liknande tillsyn över säkerhetsskyddet och fått medel tilldelade för den uppgiften. Eftersom konsekvensanalysen endast ska avspegla vad som följer av våra förslag har vi i vissa fall gjort andra bedömningar av resursbehovet än tillsynsmyndigheterna när vi ansett att uppskattningen inrymmer det uppdrag som myndigheten redan har. Vi återkommer till detta i avsnitt 11.4.
459
Konsekvenser SOU 2018:82
11.3 Aktörer som berörs av våra förslag
I detta avsnitt presenterar vi vilka aktörer som berörs av våra förslag. Vi redogör också för hur aktörerna berörs av respektive förslag och diskuterar hur förslagen skiljer sig från vad som gäller enligt nya säkerhetsskyddsregleringen. Denna redogörelse är grunden för våra bedömningar av förslagens ekonomiska konsekvenser som presenteras i nästa avsnitt. För en närmare redogörelse av respektive förslag hänvisas till kapitel 5–9.
11.3.1 Verksamhetsutövare
I 1 § första stycket nya säkerhetsskyddslagen anges att lagen gäller för den som till någon del bedriver verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (säkerhetskänslig verksamhet). I betänkandet kallar vi den som bedriver säkerhetskänslig verksamhet för verksamhetsutövare.
En stor del av våra förslag riktar sig till verksamhetsutövare och gäller både deras interna säkerhetsskyddsarbete och deras kontakter med utomstående som rör den säkerhetskänsliga verksamheten. I vårt uppdrag har inte ingått att lämna förslag om vad som avses med säkerhetskänslig verksamhet. Våra förslag påverkar således inte vilka aktörer som ska anses bedriva säkerhetskänslig verksamhet och som därmed omfattas av nya säkerhetsskyddslagen. Det innebär följaktligen att antalet verksamhetsutövare inte påverkas av våra förslag.
I det följande redovisar vi vår bedömning av på vilket sätt förslagen i betänkandet berör verksamhetsutövare.
Förslagen i kapitel 5
Skyldigheten att ingå säkerhetsskyddsavtal gäller fler situationer
I kapitel 5 presenteras våra förslag när det gäller skyldigheten att ingå säkerhetsskyddsavtal. Redan enligt 2 kap. 6 § nya säkerhetsskyddslagen gäller att alla verksamhetsutövare är skyldiga att ingå säkerhetsskyddsavtal i vissa upphandlingssituationer. Med upphandlingssituation menas att det rör sig om en anskaffning av varor,
460
SOU 2018:82 Konsekvenser
tjänster eller byggentreprenader. Skyldigheten att ingå säkerhetsskyddsavtal gäller oavsett om det är fråga om en verksamhetsutövare i offentlig eller enskild regi (prop. 2017/18:89 s. 105). Våra förslag medför ingen ändring i detta avseende.
Däremot föreslår vi att skyldigheten ska gälla fler situationer än vid upphandling, vilket utvecklas i avsnitt 5.4. Närmare bestämt föreslår vi att den som bedriver säkerhetskänslig verksamhet ska ingå säkerhetsskyddsavtal så snart den avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part om förfarandet
1. kan leda till att den utomstående får tillgång till säkerhetsskydds-
klassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. i övrigt avser eller kan ge den utomstående tillgång till säkerhets-
känslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Statliga myndigheter ska enligt våra förslag undantas från kravet om det är fråga om ett förfarande mellan två eller flera statliga myndigheter som avser annat än anskaffning av varor, tjänster eller byggentreprenader.
Våra förslag bygger på att verksamhetsutövaren ska använda samma tillvägagångssätt som redan gäller enligt 2 kap. 6 § nya säkerhetsskyddslagen. Det kommer även fortsättningsvis vara så att verksamhetsutövaren inför ett planerat förfarande ska identifiera vilka säkerhetsskyddsklassificerade uppgifter och vilken del av den säkerhetskänsliga verksamheten som kan exponeras genom det planerade förfarandet samt i säkerhetsskyddsavtalet ange hur kraven på säkerhetsskydd ska tillgodoses av den utomstående. I det avseendet är det ingen skillnad mellan den nya säkerhetsskyddsregleringen och vårt förslag. Skillnaden ligger, som redan nämnts, i att fler situationer kommer att omfattas av bestämmelsen. I grunden handlar förslaget om att varje verksamhetsutövare ska ha god kännedom om sina skyddsvärden och hur de kan komma att exponeras vid förfaranden som involverar utomstående. Detta är i sig ingen nyhet varken enligt den gamla eller nya säkerhetsskyddsregleringen. Vår bedömning är därför att verksamhetsutövare som planerar att inleda förfaranden
461
Konsekvenser SOU 2018:82
som träffas av förslaget kommer att påverkas i begränsad omfattning, främst genom merarbetet som uppstår när säkerhetsskyddsavtal tas fram och förhandlas.
En osäkerhetsfaktor när det gäller att bedöma ökningen av antalet säkerhetsskyddsavtal till följd av våra förslag är att det redan i dag ingås säkerhetsskyddsavtal i situationer där det inte finns någon sådan skyldighet enligt lag (prop. 2017/18:89 s. 105). Eftersom vi föreslår att skyldigheten att ingå säkerhetsskyddsavtal ska gälla fler situationer kan vi dock med hög grad av sannolikhet säga att antalet säkerhetsskyddsavtal som ingås kommer att öka.
I sammanhanget bör det dock framhållas att sättet som verksamhetsutövaren väljer att hantera sina skyddsvärden kommer att påverka i vilken utsträckning som skyldigheten att teckna säkerhetsskyddsavtal aktualiseras. Verksamhetsutövaren kan nämligen minska exponering av säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet för utomstående, bl.a. genom informationssäkerhetsåtgärder som begränsar tillgången till uppgifter och informationssystem eller åtgärder som syftar till att begränsa tillträdet till byggnader, anläggningar, områden och andra objekt (jfr prop. 2017/18:89 s. 147).
Förslagen i kapitel 6
Den första kontrollstationen
Ett annat förslag i betänkandet som riktar sig till verksamhetsutövare är det som vi kallar för den första kontrollstationen (avsnitt 6.7). Det är fråga om en skyldighet som aktualiseras för den som bedriver säkerhetskänslig verksamhet och som avser att inleda ett förfarande som kräver säkerhetsskyddsavtal. Genom en särskild säkerhetsbedömning ska verksamhetsutövaren identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet som den utomstående parten kan få tillgång till som kräver säkerhetsskydd. Med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt.
Hur förhåller sig då förslaget om en första kontrollstation till vad som redan gäller enligt den nya säkerhetsskyddsregleringen? Enligt 2 kap. 1 § nya säkerhetslagen ska alla verksamhetsutövare göra en
462
SOU 2018:82 Konsekvenser
säkerhetsskyddsanalys för att identifiera vilka säkerhetsskyddsklassificerade uppgifter och vad som i övrigt behöver säkerhetsskydd. Av 2 kap. 1 och 6 §§ nya säkerhetsskyddslagen följer att alla verksamhetsutövare – innan de genomför en sådan upphandling som avses i bestämmelsen – ska identifiera hur kraven på säkerhetsskydd ska tillgodoses hos leverantören. Därtill gäller enligt 2 kap. 6 § nya säkerhetsskyddsförordningen att statliga myndigheter inför vissa typer av upphandlingar ska identifiera och dokumentera vilka säkerhetsskyddsklassificerade uppgifter eller säkerhetskänsliga informationssystem som leverantören kan få del av och som kräver säkerhetsskydd.
Ovanstående bestämmelser ger uttryck för att varje verksamhetsutövare ska ha god kännedom om sina skyddsvärden och hur de kan komma att exponeras för utomstående vid t.ex. en upphandling. Vi bedömer därför att den första kontrollstationen inte medför något egentligt merarbete i fråga om den särskilda säkerhetsbedömningen i förhållande till de krav som redan får anses gälla. Det är en annan sak att vår kartläggning visar att många verksamhetsutövare, trots de krav som finns, saknar tillräcklig kunskap om vilka skyddsvärden som finns i den egna verksamheten, vilket ofta visat sig inför och under utkontrakteringar (se avsnitt 6.4.3). För de verksamhetsutövarna kommer den särskilda säkerhetsbedömningen att medföra ett merarbete. Detta merarbete är dock i huvudsak inte en konsekvens av våra förslag utan av att verksamheten inte lever upp till de krav som redan gäller.
Det andra momentet i den första kontrollstationen är en uttrycklig skyldighet att pröva om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt. Om prövningen visar att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt får det inte inledas. Något motsvarande finns inte i den nya säkerhetsskyddsregleringen. Att ett olämpligt förfarande inte ska inledas framskymtar dock redan i 2 kap. 6 § första stycket nya säkerhetsskyddslagen genom formuleringen att verksamhetsutövaren ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd ska tillgodoses av leverantören, vilket förutsätter att kraven på säkerhetsskydd överhuvudtaget kan tillgodoses om förfarandet genomförs. Vidare menar vi att kravet på en lämplighetsprövning i allt väsentligt är ett förtydligande av den princip som redan gäller inom säkerhetsskyddet och som innebär att skyddet för det skyddsvärda bör vara detsamma oavsett i vilken verksamhet det förekommer (prop. 2017/18:89
463
Konsekvenser SOU 2018:82
s. 35). Dessutom anges det redan i den promemoria som föregick införandet av 16 a § gamla säkerhetsskyddsförordningen att en lämplighetsprövning ska göras av statliga myndigheter som planerar ett sådant förfarande som avses i bestämmelsen (se promemorian Skärpt
kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet, Ju 2017/07544/L4, s. 27). Motsvarande
bestämmelse finns i 2 kap. 6 § nya säkerhetsskyddsförordningen.
Mot denna bakgrund anser vi att förslaget om en första kontrollstation inte innebär någon egentlig begränsning av verksamhetsutövarnas handlingsfrihet i förhållande till vad som redan gäller, utan snarare ett förtydligande av deras befintliga åligganden. Vi bedömer att förslaget innebär ett mycket begränsat merarbete för verksamhetsutövarna i förhållanden till vad som gäller enligt den nya säkerhetsskyddsregleringen. Detta merarbete består i huvudsak att det ställs ett krav på att lämplighetsprövningen ska dokumenteras.
Den andra kontrollstationen
I avsnitt 6.8 föreslår vi att den första kontrollstationen kompletteras med en andra kontrollstation som innebär att verksamhetsutövaren i vissa fall ska samråda med sin tillsynsmyndighet innan den inleder ett förfarande. Tillsynsmyndigheten får under samrådet förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs, eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att förfarandet inte får genomföras. Detta kallar vi förbud.
Skyldigheten att inleda samråd gäller bara om det planerade förfarandet innebär krav på säkerhetsskyddsavtal, och vissa ytterligare förutsättningar är uppfyllda. Avgränsningarna innebär att den andra kontrollstationen bara aktualiseras när det är fråga om förfaranden där det kan finnas risk för allvarlig skada för Sveriges säkerhet. I övriga fall finns däremot ingen skyldighet att inleda ett samråd och följaktligen medför förslaget då inga konsekvenser för verksamhetsutövaren. Alla verksamhetsutövare är dock i ett första läge alltid skyldiga att pröva om det planerade förfarandet medför ett krav på samråd.
464
SOU 2018:82 Konsekvenser
För statliga myndigheter innebär den andra kontrollstationen endast en mindre utvidgning av det krav på samråd som redan gäller enligt 2 kap. 6 § nya säkerhetsskyddsförordningen som vi redogjort för i avsnitt 6.3.2. Utökningen består i huvudsak av att samrådet inte begränsas till upphandlingar och att vissa upplåtelser tillkommer. För verksamhetsutövare som inte är statliga myndigheter finns inte motsvarande skyldighet att samråda enligt säkerhetsskyddsregleringen som gäller från den 1 april 2019. För dem handlar det alltså om ett nytt åliggande.
I allt väsentligt kommer samrådet att bygga på det underlag som verksamhetsutövaren redan tagit fram inom ramen för den särskilda säkerhetsbedömningen i första kontrollstationen. Den faktiska arbetsinsatsen för att inleda och genomföra samrådet är enligt vår mening därför begränsad. Däremot kan själva samrådsprocessen förväntas ha en viss påverkan, främst genom att det kan ta längre tid att inleda det planerade förfarandet än vad som annars hade varit fallet. Vi menar dock att verksamhetsutövaren själv har en viktig roll att spela när det gäller frågan om hur lång tid samrådet kommer att ta och vad det kommer att utmynna i. Vi grundar detta på att det är verksamhetsutövarna som ska ge in ett tillräckligt underlag för tillsynsmyndighetens bedömning och att tillsynsmyndighetens eventuella beslut om föreläggande eller förbud är avhängigt om kraven på säkerhetsskydd är tillgodosedda och om förfarandet är lämpligt från säkerhetsskyddssynpunkt. Bara i något enstaka fall lär det vara fråga om att tillsynsmyndigheten beslutar om föreläggande eller förbud på grund av omständigheter som verksamhetsutövaren inte kan råda över.
Den yttersta konsekvensen av förslaget med samråd är att ett planerat förfarande inte får inledas, alltså ett förbud mot förfarandet. Som vi har utvecklat i avsnitt 6.8 är det fråga om ett sistahandsalternativ när övriga möjligheter är uttömda eller bedöms som utsiktslösa. Vi utgår från att det kommer att bli mycket sällsynt med beslut om förbud. Erfarenheter från våra grannländer där det finns liknande möjligheter i samband med företagsförvärv ger stöd för detta antagande. Även Försvarsmaktens och Säkerhetspolisens erfarenheter av samrådet enligt 16 a § gamla säkerhetsskyddsförordningen talar i denna riktning. I sammanhanget bör det understrykas att verksamhetsutövaren i många fall själv har möjlighet att påverka utfallet.
465
Konsekvenser SOU 2018:82
Eventuella beslut om förbud kan få kännbara konsekvenser för en verksamhetsutövare. Det skulle exempelvis kunna påverka möjligheten att bedriva en verksamhet och medföra stora kostnader. I kapitel 6 behandlar vi frågan om förbud, förhållandet till egendomsskyddet och näringsfriheten samt rätten till ersättning. Det som sagts där upprepas inte här.
Krav på uppföljning och revidering av säkerhetsskyddsavtal
Enligt 2 kap. 6 § andra stycket nya säkerhetsskyddslagen ska verksamhetsutövaren kontrollera att leverantören följer säkerhetsskyddsavtalet. I avsnitt 6.11 föreslår vi en kompletterande bestämmelse om att verksamhetsutövaren ska se till att säkerhetsskyddsavtalet revideras om det krävs på grund av ändrade förhållanden. För att detta ska vara möjligt lämnar vi också förslag om att det i säkerhetsskyddsavtalet ska anges att verksamhetsutövaren har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden.
Redan i dag rekommenderas verksamhetsutövare att i säkerhetsskyddsavtalet ålägga motparten att rapportera relevanta förändringar.
1
Som vi nämner i avsnitt 6.10.3 kan behovet av att revidera
säkerhetsskyddsavtal dock även bero på förhållanden som inte har att göra med motparten, t.ex. förändringar i omvärlden.
Vi bedömer att detta förslag i allt väsentligt inryms inom verksamhetsutövarnas befintliga åligganden enligt den nya säkerhetsskyddsregleringen. Som nämnts ovan är det nämligen redan så att verksamhetsutövaren ska se till att skyddet för det skyddsvärda är detsamma oavsett var skyddsvärdena förekommer. Att upprätthålla skyddet är enligt vår mening inte möjligt utan att verksamhetsutövaren aktivt följer upp förhållanden som kan påverka det skyddsvärda, såväl hos motparten som i omvärlden.
Säkerhetsskyddschefens roll förstärks
I 2 kap. 2 § nya säkerhetsskyddsförordningen finns bestämmelser om säkerhetsskyddschefens roll. Vi föreslår inga förändringar när det gäller kravet på att ha en säkerhetsskyddschef. En sådan ska alltså
1 Säkerhetspolisen (2009), Säkerhetsskyddad upphandling – en vägledning s. 21.
466
SOU 2018:82 Konsekvenser
alltjämt finnas om det inte är uppenbart obehövligt. Däremot lämnar vi i avsnitt 6.6 förslag om att säkerhetsskyddschefen ska leda och
samordna säkerhetsskyddsarbetet. Vi föreslår också att säkerhets-
skyddschefen ska vara direkt underställd den person som är ansvarig för verksamhetsutövarens verksamhet.
En konsekvens av ovanstående förslag är att säkerhetsskyddschefen sannolikt kommer att behöva involveras i större utsträckning och i tidigare skeden än vad som är fallet i dag. Förslagen kommer också att få konsekvenser när det gäller hur verksamheter organiseras eftersom säkerhetsskyddschefen ska vara direkt underställd den person som är ansvarig för verksamhetsutövarens verksamhet.
Den tredje kontrollstationen
Ytterligare ett förslag i kapitel 6 som kan komma att beröra verksamhetsutövare är det som vi kallar för den tredje kontrollstationen (se avsnitt 6.9). Denna kontrollstation ger tillsynsmyndigheten möjlighet att under vissa förutsättningar ingripa i ett pågående förfarande som omfattas av krav på säkerhetsskyddsavtal, t.ex. en pågående utkontraktering. Under vissa förhållanden får tillsynsmyndigheten förelägga verksamhetsutövaren och dennes motpart att vidta de åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Tillsynsmyndigheten måste göra en proportionalitetsbedömning och pröva om skälen för åtgärden väger tillräckligt tungt i förhållande till de skador och andra olägenheter som föreläggandet medför. Förslaget kan alltså komma att påverka verksamhetsutövare på så sätt att de är skyldiga att efterkomma förelägganden som riktas mot dem. Till skillnad från den första och andra kontrollstationen riktar sig den tredje kontrollstationen dock i första hand till tillsynsmyndigheten.
Vi utgår från att det kommer bli ovanligt att reglerna om den tredje kontrollstationen behöver tillämpas. Bedömningen grundas dels på att vi föreslår en rad förebyggande åtgärder, dels att vi föreslår en ambitionshöjning inom tillsynsområdet som bl.a. innebär att tillsynsmyndigheterna ges undersökningsbefogenheter och möjligheter att besluta om åtgärdsförelägganden och sanktioner (se kapitel 8 och 9). Det ska också understrykas, i likhet med vad vi anfört ovan, att behovet av att använda den tredje kontrollstationen är nära kopplat
467
Konsekvenser SOU 2018:82
till hur framgångsrika verksamhetsutövarna är i sitt säkerhetsskyddsarbete.
Om den tredje kontrollstationen tillämpas kan det innebära betydande konsekvenser för den verksamhetsutövare som påverkas. Ett pågående förfarande som helt eller delvis måste avbrytas kan t.ex. resultera i ekonomiska skador i form av skadeståndsansvar och kostnader för att återta en del av verksamheten som lagts ut på entreprenad. I avsnitt 6.13 går vi igenom förslagets förhållandet till egendomsskyddet och näringsfriheten samt rätten till ersättning. Det som sagts där upprepas inte här. När det gäller säkerhetskänslig verksamhet som bedrivs i offentlig regi skulle ett ingripande från tillsynsmyndigheten också kunna innebära att det uppdrag som ålagts verksamhetsutövaren inte kan utföras under viss tid, t.ex. att tillhandahålla en tjänst åt allmänheten.
Tvångsåtgärder
I avsnitt 6.12 lämnar vi förslag om att tillsynsmyndigheten vid Stockholms tingsrätt ska kunna ansöka om tvångsåtgärder. För att en tvångsåtgärd ska få beslutas krävs det att åtgärden behövs för att ändamålet med ett förbud eller föreläggande som fattats enligt förslaget till 2 a kap. säkerhetsskyddslagen inte ska motverkas.
För verksamhetsutövaren innebär detta att tvångsåtgärder kan komma att aktualiseras efter beslut om förbud och förelägganden i anslutning till samrådsförfarandena och efter beslut om föreläggande när en tillsynsmyndighet ingriper i ett pågående förfarande. Förutsättningarna för sådana förbud och förelägganden har vi behandlat i framställningen ovan och det upprepas inte här.
För att tvångsåtgärder ska få beslutas krävs att förutsättningarna för förelägganden eller förbud i förslaget till 2 a kap. säkerhetsskyddslagen är uppfyllda. Därtill krävs alltså att tvångsåtgärden behövs för att ändamålet med förbudet eller föreläggandet inte ska motverkas. Typiskt sett handlar det om att tillgodose behovet av att snabbt kunna ingripa till skydd för Sveriges säkerhet.
468
SOU 2018:82 Konsekvenser
Förslagen i kapitel 7
Överlåtelse av säkerhetskänslig verksamhet och viss egendom
Våra förslag om överlåtelse av säkerhetskänslig verksamhet och viss egendom i sådan verksamhet presenteras i kapitel 7. I 2 kap. 9 § nya säkerhetsskyddförordningen finns bestämmelser som går ut på att den som planerar att överlåta säkerhetskänslig verksamhet till en enskild ska anmäla det till Säkerhetspolisen eller Försvarsmakten samt informera den enskilde om säkerhetsskyddslagens tillämplighet. Det finns dock inga bestämmelser som hindrar överlåtelser av säkerhetskänslig verksamhet eller egendom som används i sådan verksamhet.
I kapitel 7.9 och 7.10 lämnar vi förslag om att den första och andra kontrollstationen ska gälla även vid överlåtelser. Förslagen gäller överlåtelser av hela eller delar av en säkerhetskänslig verksamhet. Det väsentliga för att det ska vara fråga om en verksamhetsöverlåtelse är att en aktör tar över aktier, andelar eller annars möjligheten att bedriva den säkerhetskänsliga verksamheten. Förslagen omfattar också egendom i den säkerhetskänsliga verksamheten som har betydelse för Sveriges säkerhet eller för ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Innan en överlåtelse inleds ska en särskild säkerhetsbedömning och lämplighetsprövning genomföras av överlåtaren. Om lämplighetsprövningen resulterar i bedömningen att överlåtelsen är lämpligt från säkerhetsskyddssynpunkt ska ett samrådsförfarande inledas med tillsynsmyndigheten. Inom ramen för samrådet får tillsynsmyndigheten förelägga överlåtaren att vidta åtgärder enligt den nya säkerhetsskyddslagen eller föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs, eller om tillsynsmyndigheten bedömer att överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras. Samrådet får även avslutas med föreläggande som innebär att överlåtelsen endast får genomföras på vissa angivna villkor, vid påföljd att överlåtelsen annars är ogiltig. Beslut som inskränker möjligheten att genomföra överlåtelser får bara fattas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen.
469
Konsekvenser SOU 2018:82
Som nämnts ovan är möjligheten att begränsa överlåtelser av säkerhetskänslig verksamhet och viss egendom ny. Vi bedömer att det torde bli sällsynt att reglerna om förbud överhuvudtaget kommer att aktualiseras. För den verksamhetsutövare som påverkas kan förbudet dock innebära kännbara konsekvenser. Det kan t.ex. innebära att verksamhetsutövaren måste ha kvar hela eller delar av verksamheten eller egendomen som den annars hade överlåtit i sin ägo. Vidare kan det innebära begränsningar i möjligheten att genomföra sammanslagningar av bolag och andra förändringar av ägarförhållanden. I avsnitt 7.14 går vi igenom förslagets förhållandet till egendomsskyddet och näringsfriheten. Det som sagts där upprepas inte här.
Det är viktigt att påpeka att verksamhetsutövaren i många fall har en viktig roll att spela när det gäller förslagets konsekvenser, vilket beror på att överlåtelsens lämplighet från säkerhetsskyddssynpunkt kan hänga samman med hur verksamhetsutövaren har bedrivit sitt säkerhetsskyddsarbete. Likväl bedömer vi att det kan uppstå situationer där en överlåtelse är olämplig ur säkerhetsskyddssynpunkt oavsett vilka åtgärder som vidtas inför en överlåtelse och oavsett hur verksamhetsutövaren har bedrivit sitt säkerhetsskyddsarbete. Det skulle kunna vara fallet när det är fråga att överlåta en verksamhet till utlandet som har så stora beroenden till annan säkerhetskänslig verksamhet att den måste finnas kvar i Sverige. Så kan också vara fallet när en överlåtelse ger främmande makt eller annan aktör uppgifter som medför att förmågor kopplade till Sveriges säkerhet drastiskt minskar.
2
Vi har därför föreslagit att beslut om förbud mot överlåtel-
ser ska kunna överklagas till regeringen. Med regeringen som överklagandeinstans bedömer vi att det finns förutsättningar för att hantera den uppkomna situationen för verksamhetsutövare som berörs av ett förbud, t.ex. genom möjligheten att besluta om ersättning ex gratia eller genom att statsmakten till och med förvärvar verksamheter om det bedöms som nödvändigt för Sveriges säkerhet.
2 Jfr Inspektionen för strategiska produkters remissvar den 18 december 2017 med dnr 2017-7.5.2-0012 angående Europaparlamentets och rådets förordning om upprättande av en ram för granskning av utländska direktinvesteringar i Europeiska Unionen, KOM (2017) 487.
470
SOU 2018:82 Konsekvenser
Överlåtelser kan under vissa förutsättningar vara ogiltiga
Som antytts ovan föreslår vi att överlåtelser under vissa förutsättningar ska vara ogiltiga. Förslag med denna innebörd utvecklas i avsnitt 7.11. Där anger vi att en överlåtelse ska vara ogiltig om den har genomförts i strid med ett förbud eller ett föreläggande som meddelats vid påföljd av ogiltighet. Vidare föreslår vi att en överlåtelse ska vara ogiltig om den har genomförts utan att samråd skett och om förutsättningarna för ett förbud är uppfyllda. I en sådan situation föreslås tillsynsmyndigheten i efterhand få meddela ett förbud, med följd att överlåtelsen blir ogiltig. Förutsättningarna för att meddela de förelägganden och förbud som nu avses har vi utvecklat ovan.
Tvångsåtgärder
Som redan nämnts förslår vi att tillsynsmyndigheten ska kunna ansöka om tvångsåtgärder om det behövs för att ändamålet med ett förbud eller föreläggande inte ska motverkas. När det gäller våra förslag i kapitel 7 innebär detta att tvångsåtgärder kan komma att aktualiseras efter beslut om föreläggande eller förbud som rör samrådet.
Förslagen i kapitel 8
I kapitel 8 finns våra förslag om tillsyn. I den nya säkerhetsskyddsregleringen har tillsynsmyndigheterna inga särskilda befogenheter och tillsynen utgår från att verksamhetsutövaren samarbetar med tillsynsmyndigheten och självmant vidtar de åtgärder som rekommenderas.
I avsnitt 8.10 föreslår vi att tillsynsmyndigheterna ska få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, där det bedrivs verksamhet som omfattas av säkerhetsskyddslagen under förutsättning att det behövs för tillsynen. Vi föreslår också att verksamhetsutövaren på begäran ska ge tillsynsmyndigheten den information som behövs för tillsynen. I linje med dessa förslag ska tillsynsmyndigheten även få förelägga den som står under tillsyn att
471
Konsekvenser SOU 2018:82
tillhandahålla information och att ge tillträde till lokaler och liknande. Ett sådant föreläggande ska få förenas med vite. Ytterligare ett förslag i kapitel 8 som kan påverka verksamhetsutövaren är möjligheten för tillsynsmyndigheten att rikta åtgärdsförelägganden mot verksamhetsutövaren. Även ett sådant föreläggande ska få förenas med vite. Vidare föreslår vi att tillsynsmyndigheterna inom sina respektive ansvarsområden ska ge vägledning om säkerhetsskydd, dock inte rådgivning. Vi återkommer till frågor om rådgivning, vägledning och utbildning.
Förslagen i kapitel 8 kommer framför allt att påverka de verksamhetsutövare som inte fullt ut medverkar i tillsynen och som inte efterkommer de påpekanden om brister i säkerhetsskyddet som tillsynsmyndigheten lämnar. Sådan bristande medverkan eller regelefterlevnad måste enligt vår mening tillräknas verksamhetsutövaren. Eventuellt merarbete som uppstår kan därför inte anses utgöra en konsekvens av våra förslag. Dock kan det givetvis förekomma att ett föreläggande av något skäl är felaktigt eller obefogat, och att det upphävs efter överklagande till förvaltningsdomstol. I ett sådant fall utgör det arbete och de kostnader som verksamhetsutövaren åsamkats en konsekvens av våra förslag. Kostnaden kan svårligen kvantifieras, eftersom det är omöjligt att förutse hur många sådan fall som kan uppstå. Vi förutsätter dock att det blir ovanligt att exempelvis förelägganden överklagas.
Förslagen i kapitel 9
I den nya säkerhetsskyddsregleringen finns inga möjligheter att besluta om sanktioner för verksamhetsutövare som brister i sitt säkerhetsskyddsarbete. Det är bl.a. mot den bakgrunden som denna utredning har tillsats.
I kapitel 9 föreslår vi att tillsynsmyndigheten ska kunna beslut om sanktionsavgift för vissa åsidosättanden av skyldigheter som följer av säkerhetsskyddslagen och de föreskrifter som meddelats med stöd av den lagen. Besluten om sanktionsavgift riktas mot verksamhetsutövaren oavsett i vilken form den säkerhetskänsliga verksamheten bedrivs. Vi föreslår att ansvaret för sanktioner ska vara strikt och att det ska vara obligatoriskt för tillsynsmyndigheten att besluta om sanktionsavgift när förutsättningarna för det är uppfyllda. Dock
472
SOU 2018:82 Konsekvenser
menar vi att det ska finnas utrymme för tillsynsmyndigheten att jämka eller helt efterge avgiften om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Förslagen i kapitel 9 kommer endast beröra verksamhetsutövare som åsidosätter sina skyldigheter enligt säkerhetsskyddslagen eller föreskrifter som meddelats med stöd av den lagen. Sådan bristande följsamhet måste enligt vår mening fullt ut tillräknas verksamhetsutövaren. Eventuellt merarbete som följer härav kan därför inte anses utgöra en konsekvens av våra förslag. Alltjämt är det en konsekvens av våra förslag att verksamhetsutövare som åsidosätter sina skyldigheter kommer att få betala sanktionsavgifter.
I likhet med vad som gäller åtgärdsförelägganden kan det förekomma att ett beslut om sanktioner av något skäl är felaktigt eller obefogat, och att det upphävs efter överklagande till förvaltningsdomstol. I ett sådant fall utgör det arbete och de kostnader som verksamhetsutövaren åsamkats en konsekvens av våra förslag.
Förslagen kan innebära högre kostnader för inköp
De förslag som vi redogjort för ovan skulle indirekt kunna påverka verksamhetsutövare genom att kostnaden för varor och tjänster blir något högre. Det beror på att kommersiella aktörer kan bedöma att det är förenat med viss risk att ingå förbindelser med aktörer som omfattas av säkerhetsskyddsregleringen och därför tar höjd för risken när priset beräknas. Det skulle exempelvis kunna handla om risk för att ett förfarande inte kan genomföras som planerat på grund av den andra kontrollstationen eller att verksamhetsutövaren efter en tid reviderar säkerhetsskyddsavtalet med nya säkerhetsskyddsåtgärder som följd. En mer långtgående konsekvens skulle möjligen kunna vara att kommersiella aktörer avstår från att lämna anbud eller avstår från att bedriva viss verksamhet eftersom det inte bedöms marknadsmässigt motiverat. Det skulle i sin tur kunna påverka tjänsteutbudet inom vissa särskilda områden.
Vi bedömer att förslagen initialt kan komma att medföra kostnadsökningar som varierar beroende på hur väl utvecklad säkerhetsskyddskultur som finns hos verksamhetsutövare och deras leveran-
473
Konsekvenser SOU 2018:82
törer. I takt med att kunskapen om säkerhetsskydd ökar torde kostnaderna dock plana ut. Samtidigt tror vi att förslagen resulterar i att säkerhetsskyddet på sikt får en mer framträdande roll och uppmärksammas i tidigare skeden än vad som är fallet i dag. Med tiden leder det sannolikt till att såväl verksamhetsutövare som leverantörer har bättre förutsättningar att överblicka kostnader och risker, vilket minskar behovet av att ta höjd för oförutsedda utgifter. Sammantaget bedömer vi alltså att förslagen kan leda till att leverantörer under en inledande period kan komma att ta ut högre priser. För verksamhetsutövare som inte agerar på en marknad kan man tänka sig att motparten i ett säkerhetsskyddsavtal gör liknande överväganden som en kommersiell aktör när det gäller t.ex. nyttan av att inleda ett samarbete eller en samverkan.
11.3.2 Verksamhetsutövarens motpart
Kapitel 6 och 7
En annan aktör som kan komma att påverkas av våra förslag är verksamhetsutövarens motpart. Den omständigheten att kravet på samråd och möjligheten att utfärda förelägganden och att förbjuda ett visst förfarande utvidgas till fler situationer innebär att fler potentiella motparter påverkas, än vad som är fallet enligt bestämmelserna i 2 kap. 6 § nya säkerhetsskyddsförordningen (jfr även 16 a § gamla säkerhetsskyddsförordningen). Som vi har tagit upp i avsnitt 11.3.1 kan förslagen innebära att motparter behöver kompensera för risken att tilltänkta affärer inte blir av, att säkerhetsskyddsavtalet behöver revideras med krav på andra säkerhetsskyddsåtgärder eller – i sällsynta fall – att ett pågående förfarande måste inskränkas eller avslutas. Behovet torde enligt vår mening plana ut i takt med att kunskapen om säkerhetsskydd ökar. Det anförda gäller oavsett om motparten själv bedriver säkerhetskänslig verksamhet eller inte.
I enlighet med vad vi har utvecklat i avsnitt 11.3.1 kan motparten också påverkas genom att förvärv kan bli ogiltiga. Verksamhetsutövarens motpart kan också, i egenskap av förvärvare, bli föremål för tillsynsmyndighetens beslut om förelägganden om en överlåtelse är ogiltig eller det finns skäl för ingripande mot en pågående utkontraktering eller annat förfarnade (se avsnitt 7.11 respektive 6.9).
474
SOU 2018:82 Konsekvenser
Ett sådant föreläggande får förenas med vite. Ytterst kan verksamhetsutövarens motpart också påverkas av tvångsåtgärder när en sådan åtgärd behövs för att ändamålet med ett föreläggande eller förbud inte ska motverkas.
Kapitel 5 och 8
Vissa konsekvenser följer också av våra förslag om säkerhetsskyddsavtal och tillsyn. Det finns redan bestämmelser i 7 kap. 1 § nya säkerhetsskyddsförordningen som innebär att tillsynsmyndigheter får utöva tillsyn över säkerhetsskyddet hos leverantörer som omfattas av ett säkerhetsskyddsavtal samt enskilda verksamhetsutövare som leverantören har anlitat inom ramen för säkerhetsskyddsavtalet. Våra förslag om säkerhetsskyddsavtal innebär att fler aktörer kommer att träffas av skyldigheten att ingå sådana avtal. Det är säkerhetsskyddsavtalet som sätter ramarna för hur långt tillsynsmyndigheternas befogenheter sträcker sig. Det innebär att även verksamhetsutövarens motpart kan bli föremål för de tillsynsåtgärder som vi föreslår i kapitel 8. Bland dem finns tillsynsmyndighetens tillträdesrätt och möjlighet att besluta om åtgärdsförelägganden som får förenas med vite.
11.3.3 Aktie- och andelsägare i säkerhetskänsliga verksamheter
Vår bedömning är att den andra kontrollstationen, alltså förfarandet med samråd, föreläggande och förbud, bör gälla både verksamhetsutövare och ägare till säkerhetskänslig verksamhet. Därför föreslår vi i avsnitt 7.10 att den andra kontrollstationen även ska gälla för aktie- och andelsägare i säkerhetskänslig verksamhet, dock inte när det gäller aktier i publika aktiebolag. I likhet med vad som gäller för verksamhetsutövare är det enligt vår mening nödvändigt att ålägga en sanktionsavgift för den aktie- eller andelsägare som försummar samrådsskyldigheten eller går vidare med en överlåtelse trots att tillsynsmyndigheten förbjudit den. En annan konsekvens av bristande följsamhet till reglerna om samråd kan bli att överlåtelsen är ogiltig. Detta utvecklar vi närmare i avsnitt 7.11.
475
Konsekvenser SOU 2018:82
11.3.4 Tillsynsmyndigheter
Inom ramen för säkerhetsskyddsregleringen finns ett antal tillsynsmyndigheter som har till främsta uppgift att kontrollera att den nya säkerhetsskyddslagen och föreskrifter som meddelats i anslutning till lagen följs av dem som har att tillämpa lagen. I avsnitt 8.7 föreslår vi en ny struktur för fördelning av tillsynsansvaret och lämnar förslag på hur tillsyn ska bedrivas.
De förslag som vi lämnar påverkar inte vilka aktörer som ska anses bedriva säkerhetskänslig verksamhet enligt den nya säkerhetsskyddslagen. Våra förslag påverkar därmed inte heller antalet tillsynsobjekt.
Försvarsmakten och Säkerhetspolisen blir samordningsmyndigheter
Försvarsmakten och Säkerhetspolisen har redan i dag det huvudsakliga ansvaret för tillsyn inom respektive myndighets ansvarsområde. Vi föreslår att Försvarsmaktens och Säkerhetspolisens uppgifter i tillsynssystemet formaliseras och att de i rollen som samordningsmyndigheter ska ansvara för att
1. följa upp, utvärdera och utveckla tillsynsarbetet,
2. i samråd utveckla och tillhandahålla metodstöd för tillsyn,
3. verka för erfarenhetsutbyte och
4. förmedla relevant hotinformation till tillsynsmyndigheterna.
Till största del utgör ovanstående uppräkning nya ansvarsområden som tillkommer genom våra förslag. Rollen som samordningsmyndighet utvecklar vi närmare i avsnitt 8.6. Både Försvarsmakten och Säkerhetspolisen föreslås också fortsätta utöva tillsyn över säkerhetsskyddet. Det innebär alltså att Försvarsmakten och Säkerhetspolisen kommer att uppträda både som samordningsmyndigheter och tillsynsmyndigheter.
476
SOU 2018:82 Konsekvenser
En ny tillsynsstruktur
Ett antal myndigheter föreslås få fortsatt ansvar för att bedriva tillsyn enligt nya säkerhetsskyddslagen, nämligen Försvarsmakten, Säkerhetspolisen, Affärsverket svenska kraftnät, Transportstyrelsen, Postoch telestyrelsen samt länsstyrelserna i Stockholms, Skåne, Västra Götalands och Norrbottens län. Vi föreslår också att Försvarets materielverk, Finansinspektionen, Statens energimyndighet och Strålsäkerhetsmyndigheten blir nya tillsynsmyndigheter. Vidare föreslår vi att ett antal länsstyrelser inte längre ska bedriva tillsyn, nämligen länsstyrelserna i Blekinge, Dalarnas län, Gotlands län, Gävleborg, Hallands län, Jämtlands län, Jönköpings län, Kalmar län, Kronobergs län, Södermanlands län, Uppsala län, Värmland, Västerbotten, Västernorrland, Västmanlands län, Örebro län och Östergötland. Skälen för dessa förslag framgår i kapitel 8.7.
Tillsynsverksamheten
I avsnitt 8.8–8.17 lämnar vi förslag om hur vi anser att tillsyn bör bedrivas. Förslagen tar utgångspunkt i utvecklingsbehovet som beskrivits i avsnitt 8.4. I grunden handlar förslagen om att ambitionsnivån för tillsynen måste höjas, bl.a. genom att tillsynsmyndigheterna ska ha kunskap om vilka tillsynsobjekt som finns inom respektive ansvarsområde, att tillsyn ska genomföras med viss regelbundenhet och att tillsynsmyndigheterna ska ha undersökningsbefogenheter och möjligheter att besluta om förelägganden och sanktioner för att komma tillrätta med brister som upptäcks i säkerhetsskyddet.
Som nämnts ovan föreslår vi att nio myndigheter som har ansvar för tillsyn över säkerhetsskyddet enligt den nya säkerhetsskyddsförordningen ska fortsätta bedriva sådan tillsyn. Eftersom konsekvensanalysen ska avspegla vad som följer av våra förslag är det i dessa fall nödvändigt att försöka bedöma skillnaden mellan myndigheternas ansvar enligt nya säkerhetsskyddsförordningen och våra förslag. Övriga föreslagna tillsynsmyndigheter har inget ansvar för tillsyn enligt nya säkerhetsskyddsförordningen. I fråga om dessa myndigheter ska konsekvenserna enbart bedömas utifrån våra förslag.
I den nya säkerhetskyddsregleringen finns i dagsläget få bestämmelser om hur tillsyn ska utföras. Vår kartläggning av hur tillsyn bedrivs enligt den gamla säkerhetsskyddsregleringen visar att det
477
Konsekvenser SOU 2018:82
finns en stor variation i hur myndigheterna har utövat tillsyn. När vi nu ska beskriva hur våra förslag om tillsyn förhåller sig till den nya säkerhetsskyddsregleringen har vi därför valt att jämföra förslagen med vad vi anser är rimligt att förvänta sig utifrån det befintliga regelverket.
När det gäller själva kärnan i tillsynsuppdraget, dvs. att kontrollera efterlevnaden av säkerhetsskyddsregleringen, är det i princip ingen skillnad mellan hur denna uppgift beskrivs i den nya säkerhetsskyddslagen och i våra förslag. Däremot finns det i dagsläget ingen motsvarighet till förslaget i avsnitt 8.15 om att tillsynsmyndigheten genom systematisk kartläggning ska identifiera tillsynsobjekt inom dess ansvarsområde samt hålla en aktuell förteckning över dem. Vi menar dock att det får anses vara ett berättigat krav på alla myndigheter som bedriver tillsyn att ha kännedom om vad tillsynsuppdraget omfattar. För en myndighet som redan bedriver tillsyn enligt nya säkerhetsskyddslagen kan detta krav därmed inte ses som särskilt betungande. Motsvarande bedömning gör vi när det gäller vårt förslag i avsnitt 8.16 om att tillsyn bör ske med viss regelbundenhet. Till detta kommer att vi föreslår en anmälningsplikt för verksamhetsutövare, vilket kan förväntas att underlätta kartläggningsuppgiften betydligt.
Vi föreslår flera nya verktyg för tillsynsmyndigheterna, så som en möjlighet att besluta att den som står under tillsyn ska tillhandahålla information och ge tillträde till bl.a. lokaler. Vi föreslår också att tillsynsmyndigheten ska kunna fatta beslut om åtgärdsförelägganden för att tillsynsobjekten ska fullgöra sina skyldigheter. En annan nyhet är förslaget om sanktioner i säkerhetsskyddsregleringen som utvecklas i kapitel 9. I grunden handlar nu nämnda förslag om att underlätta för tillsynsmyndigheterna att utföra sitt uppdrag och att framtvinga regelefterlevnad hos tillsynsobjekten. I flera avseenden är detta nya moment i rollen som tillsynsmyndighet som sannolikt kommer att kräva merarbete, inte minst administrativt sådant. I den mån beslut om föreläggande eller sanktionsavgift överklagas, tillkommer också det arbete som krävs i rollen som motpart i förvaltningsdomstolen.
478
SOU 2018:82 Konsekvenser
Den andra och tredje kontrollstationen
I avsnitt 6.8, 6.9 och 7.10 utvecklar vi förslagen om den andra och tredje kontrollstationen. I det följande redogör vi för konsekvenserna för tillsynsmyndigheterna av dessa två kontrollstationer.
Att ansvara för uppgifterna inom ramen för den andra och tredje kontrollstationen är helt nya uppgifter för tillsynsmyndigheterna. Dock har Försvarsmakten och Säkerhetspolisen redan ansvar för en mekanism som uppvisar stora likheter med den andra kontrollstationen men som endast gäller för statliga myndigheter, vilken vi beskriver i avsnitt 6.3.2.
Enligt vår bedömning kommer tillsynsmyndigheternas uppgifter i den andra och tredje kontrollstationen kräva relativt stora resurser, inte minst till en början när systemen ska byggas upp. Förutom att hantera de säkerhetsskyddsaspekter som uppkommer handlar det om ärendehantering och om att uppträda som motpart i en eventuell domstolsprocess. Det ska dock vägas in att den andra kontrollstationen bara kommer att aktualiseras i särskilt angelägna situationer och inte i alla förfaranden som kräver säkerhetsskyddsavtal. Som nämnts ovan utgår vi från att det kommer att bli ovanligt att reglerna om den tredje kontrollstationen kommer att behöva tillämpas.
Vägledning
I avsnitt 8.17 har vi lämnat förslag som innebär att tillsynsmyndigheterna i stället för rådgivning ska lämna vägledning till tillsynsobjekten i fråga om säkerhetsskydd. Det framgår av förarbetena till nya säkerhetsskyddslagen att det åligger tillsynsmyndigheterna att vägleda enskilda verksamheter i fråga om säkerhetsskyddslagens tillämplighet (se prop. 2017/18:89 s. 131). Det anges där att sådan vägledning kan innebära framtagande av manualer eller liknande som kan vara ett stöd för att kunna identifiera vad som inom det aktuella området utgör säkerhetskänslig verksamhet. Enligt förarbetena kan vägledning också innebära att i samråd med Säkerhetspolisen och Försvarsmakten ta fram underlag i fråga om vilka hot som säkerhetsskyddet inom det berörda området behöver vara dimensionerat för. I detta sammanhang kan det nämnas att vi föreslår att Försvarsmakten och Säkerhetspolisen i rollen som samordningsmyndigheter föreslås
479
Konsekvenser SOU 2018:82
få i uppdrag att förmedla relevant hotinformation till tillsynsmyndigheterna.
Vi bedömer att förslaget inte innebär någon större skillnad för tillsynsmyndigheterna jämfört med vad som redan gäller. Även om ordet rådgivning i strikt mening har en annan innebörd än vägledning torde den verksamhet som tillsynsmyndigheterna hittills ha ägnat sig åt i detta avseende i huvudsak ha varit det som vi kallar vägledning. En skillnad är dock att vi föreslår att vägledningen ska omfatta inte bara enskilda utan också offentliga verksamhetsutövare. Vägledning kan alltså behöva lämnas till fler tillsynsobjekt, vilket kan medföra ett visst merarbete. Som antytts i förarbetena till nya säkerhetsskyddslagen lär dock vägledningsuppdraget till stor del kunna fullgöras genom framtagande av manualer och annat metodstöd snarare än individuellt inriktade åtgärder.
11.3.5 Domstolarna
Som ett resultat av våra förslag om möjligheter för tillsynsmyndigheten att fatta beslut om förelägganden, sanktioner och förbud behöver det införas möjligheter att överklaga. Detta utvecklar vi närmare i avsnitt 6.10, 7.12, 8.13 och 9.15. Någon möjlighet att överklaga beslut enligt nya säkerhetsskyddsregleringen finns inte, varför det handlar om en ny kategori av mål. Vidare föreslår vi i avsnitt 6.12 och 7.13 att tillsynsmyndigheten i vissa fall ska kunna ansöka om tvångsåtgärder i Stockholms tingsrätt. Det nu sagda innebär att domstolarna är en ny typ av aktör som kommer att påverkas av våra förslag.
De domstolar som påverkas av våra förslag när det gäller överklagande av beslut om förelägganden och sanktioner är Förvaltningsrätten i Stockholm, Kammarrätten i Stockholm och Högsta förvaltningsdomstolen. Högsta förvaltningsdomstolen påverkas dessutom som en följd av att regeringens beslut i vissa fall kan överprövas genom rättsprövning. Vidare kommer Stockholms tingsrätt, Svea hovrätt och Högsta domstolen påverkas av våra förslag när det gäller tillsynsmyndighetens möjlighet att ansöka om tvångsåtgärder.
Vår bedömning, som vi har redovisat i de ovan nämnda avsnitten, är att mål enligt nya säkerhetsskyddslagen torde bli ovanliga. Genom att de koncentreras till ett fåtal domstolar medför förslagen inte
480
SOU 2018:82 Konsekvenser
några omfattande åtgärder för kompetensutveckling i Sveriges domstolar. I domstolarna som vi föreslår ska pröva överklaganden av beslut enligt nya säkerhetsskyddslagen hanteras redan i dag mål som är känsliga i sekretesshänseende. Vi bedömer med hänsyn till det anförda att den begränsade måltillströmning som kan komma att följa av våra förslag får liten påverkan på domstolarna.
11.3.6 Regeringen
Vi föreslår att vissa av de beslut som kan fattas enligt våra förslag i kapitel 6 och 7 ska kunna överklagas till regeringen. Det handlar om tillsynsmyndigheternas beslut om förbud mot att inleda vissa förfaranden och överlåtelser och beslut om förbud som avser en genomförd överlåtelse. Det handlar också om tillsynsmyndigheternas beslut om att ingripa i ett pågående förfarande som är olämpligt från säkerhetsskyddssynpunkt, liksom förelägganden som fattas efter att en överlåtelse är ogiltig och som behövs för att förhindra skada för Sveriges säkerhet. Vi har i avsnitt 6.10 och 7.12 utvecklat varför vi bedömer att regeringen är lämplig instans att pröva dessa frågor och att det torde handla om ett mycket litet antal ärenden. Det som angetts där upprepas inte här.
Mot bakgrund av vad som nämnts i föregående stycke bedömer vi att regeringen endast i mycket begränsad omfattning kommer att beröras av våra förslag i de angivna delarna. Förslagen kan dock innebära att regeringen, på ett sätt som inte tidigare skett, behöver pröva och ta ställning till enskilda frågor om Sveriges säkerhet. Enligt vår mening är det naturligt att denna typ av frågor prövas av regeringen eftersom den har det övergripande ansvaret för Sveriges säkerhet och då frågorna kan inrymma utrikes-, försvars-, och säkerhetspolitiska överväganden (se prop. 2009/10:31 s. 237).
Våra förslag innebär vidare att regeringen bemyndigas att meddela föreskrifter i vissa ytterligare fall, däribland om undantag från kravet på säkerhetsskyddsavtal. Av större betydelse är dock att vi även föreslår att regeringen ska få möjlighet att fatta beslut i enskilda fall om undantag från kravet på säkerhetsskyddsavtal. Avsikten är att möjligheten bl.a. ska kunna utnyttjas när det finns behov av snabbanskaffningar i höjt beredskapsläge, eller i fråga om sådana särskilda underrättelsesamarbeten som enligt tilläggsdirektiven inte omfattas
481
Konsekvenser SOU 2018:82
av vårt uppdrag. Denna uppgift medför en viss ärendetillströmning till regeringen
11.4 Ekonomiska konsekvenser och finansiering
Bedömning: En mycket grov uppskattning ger vid handen att
våra förslag medför ett behov av omkring 110 årsarbetskrafter hos de föreslagna tillsynsmyndigheterna, motsvarande grovt uppskattat 110 miljoner kronor per år. Härutöver tillkommer kostnader för kompetensförsörjning inom säkerhetsskyddsområdet och för att etablera tillsynssystemet.
Förslagen kan antas leda till marginella kostnadsökningar för offentliga verksamhetsutövare samt domstolar som kan hanteras inom ramen för tillgängliga medel.
Förslagen kan antas leda till marginella kostnadsökningar för enskilda verksamhetsutövare.
Förslagen bör huvudsakligen finansieras genom ökade anslag. Till viss del kan förslagen finansieras genom de kostnadsminskningar som uppstår när 17 länsstyrelser frigörs från uppgiften att utöva tillsyn över säkerhetsskyddet. Tillsynen bör inte vara avgiftsfinansierad.
Förslag: Försvarsmakten och Säkerhetspolisen får i uppdrag att
utreda hur kompetensförsörjningen inom säkerhetsskyddsområdet kan tryggas.
11.4.1 Ekonomiska konsekvenser för det allmänna
Myndigheter som föreslås bedriva tillsyn
I detta avsnitt presenterar vi en uppskattning av de ekonomiska konsekvenserna för de myndigheter som föreslås få ansvar för att bedriva tillsyn. Även samordningsmyndigheternas uppgifter ingår i uppskattningen. Våra bedömningar bygger på redogörelsen i avsnitt 11.3 om hur respektive aktör berörs av våra förslag samt myndigheternas egna beräkningar av vilka resurser som krävs för uppdraget.
482
SOU 2018:82 Konsekvenser
Det finns ett flertal faktorer som påverkar uppskattningen av de ekonomiska konsekvenserna av våra förslag. En sådan faktor är att merparten av de föreslagna tillsynsmyndigheterna i dag inte bedriver något systematiskt tillsynsarbete på säkerhetsskyddsområdet, vilket begränsar deras möjligheter att med någon större precision beräkna de resurser som behövs för att genomföra våra förslag. Nästan alla föreslagna myndigheter har uttryckt att deras beräkningar är förenade med stor osäkerhet. En annan faktor är att den föreslagna rollen som samordningsmyndighet är ny och att de närmare formerna för samordningen kommer att utkristalliseras först när Försvarsmakten och Säkerhetspolisen har bestämt hur arbetet ska bedrivas. Samordningsmyndigheterna ska enligt våra förslag också meddela föreskrifter om hur och i vilken omfattning som tillsynen ska bedrivas, vilket naturligtvis kommer att påverka resursbehovet. Ytterligare en faktor är att våra förslag kompletterar en reglering som ännu inte är i kraft. I skrivande stund finns det därför inga uppgifter om tillämpning eller effekter av den nya regleringen. Det anförda medför att uppskattningarna i det följande måste ses som grova och högst preliminära. Det anförda understryker också behovet av att uppskattningarna följs upp i den fortsatta behandlingen av förslagen i detta betänkande.
Försvarsmakten
Försvarsmakten har enligt den nya säkerhetsskyddsförordningen ansvar för tillsyn över Fortifikationsverket, Försvarshögskolan och de myndigheter som hör till Försvarsdepartementet. Vi föreslår inga ändringar när det gäller vilka myndigheter som Försvarsmakten bör ha tillsynsansvar för. När det gäller rollen som samordningsmyndighet innebär våra förslag att Försvarsmakten blir samordningsmyndighet för Försvarets materielverk.
I enkätsvaret har Försvarsmakten uppgett bl.a. följande. Utvidgningen av tillsynsansvaret enligt 16 a § gamla säkerhetsskyddsförordningen från den 1 april 2018 krävde ytterligare 6–8 årsarbetskrafter utöver de 4–5 årsarbetskrafter som dessförinnan behövdes för tillsyn. Denna utvidgning har inte finansierats. Om Försvarsmakten i enlighet med utredningens förslag tillförs ytterligare uppgifter ökar resursbehovet med 3–4 årsarbetskrafter. Även vid en full
483
Konsekvenser SOU 2018:82
finansiering kommer det ta tid i anspråk innan rekrytering och utbildning av ny personal är genomförd eftersom det råder en stor brist och konkurrens om personal med säkerhetsskyddskompetens.
För Försvarsmakten, liksom övriga tillsynsmyndigheter, innebär våra förslag att rollen som tillsynsmyndighet inbegriper ett större ansvar och fler uppgifter. Detta beror bl.a. på att tillsynsmyndigheterna föreslås få ansvar för samråd, att bedriva tillsyn med viss regelbundenhet och att vid behov besluta om åtgärdsförelägganden och sanktioner. Trots att Försvarsmakten alltså inte föreslås få fler tillsynsobjekt räknar vi med att den förändrade tillsynsrollen medför ett utökat behov av resurser. Detta är ett ingångsvärde som vi har med i beräkningen av de ekonomiska konsekvenserna för samtliga föreslagna tillsynsmyndigheter, vilket därför inte upprepas i det följande.
Som vi har utvecklat tidigare medför även rollen som samordningsmyndighet en rad nya uppgifter, bl.a. att följa upp, utvärdera och utveckla tillsynsarbetet, förmedla relevant hotinformation till tillsynsmyndigheten samt ta fram metodstöd. Försvarsmaktens samordningsansvar föreslås omfatta Försvarets materielverk som i sin tur bedriver tillsyn över området försvarsmateriel. Det är alltså fråga om ett område som Försvarsmakten känner mycket väl och som i allt väsentligt inrymmer Försvarsmaktens skyddsvärden. Vi menar därför att en uppskattning om ungefär fyra tillkommande årsarbetskrafter för Försvarsmakten framstår som rimlig.
Säkerhetspolisen
Säkerhetspolisen har enligt den nya säkerhetsskyddsförordningen ansvar för tillsyn över alla myndigheter under regeringen som inte hör till Försvarsmaktens ansvarsområde, dock inte Justitiekanslern. Säkerhetspolisen har också ansvar för tillsyn över alla kommuner och landsting. Enligt våra förslag i avsnitt 8.7 frigörs Säkerhetspolisen från tillsyn över kommuner och landsting samtidigt som tillsynen över myndigheter inriktas mot de mest skyddsvärda verksamheterna. När det gäller rollen som samordningsmyndighet innebär våra förslag att Säkerhetspolisen blir samordningsmyndighet för samtliga föreslagna tillsynsmyndigheter utom Försvarets materielverk.
484
SOU 2018:82 Konsekvenser
Säkerhetspolisen har framfört bl.a. följande när det gäller resursbehovet för att genomföra utredningens förslag. Det förändrade uppdraget kommer uppskattningsvis kräva ett fyrtiotal ytterligare årsarbetskrafter jämfört med de resurser som ska arbeta med tillsyn när den nya säkerhetsskyddslagen träder i kraft. Inledningsvis kommer det vara nödvändigt att Säkerhetspolisen stödjer och i viss mån bedriver tillsyn tillsammans med de föreslagna tillsynsmyndigheterna som står under Säkerhetspolisens samordningsansvar, vilket kräver resurser. Behovet av utbildning av tillsynsmyndigheter förutspås också öka. Därutöver är det i allt väsentligt nya uppdrag att systematiskt utveckla tillsynsmetoder för tillsynsmyndigheter, verka för samarbete och informationsutbyte tillsynsmyndigheter emellan samt att regelbundet delge tillsynsmyndigheterna områdesspecifik hotinformation. Detta kräver bl.a. att uppgifter sammanställs och anpassas för respektive tillsynsområde innan de förmedlas. Vidare behöver det säkerställas att uppgifterna kan förmedlas och tas om hand av mottagaren på ett säkert sätt. Uppdraget medför vidare att samordningsmyndigheterna måste ha en övergripande bild av bl.a. säkerhetsskyddet och incidenter inom respektive tillsynsområde.
Vi föreslår att Säkerhetspolisens tillsynsansvar inriktas mot de allra mest skyddsvärda myndigheterna, vilket medför att antalet tillsynsobjekt minskar. Samtidigt bör det noteras att myndigheterna som Säkerhetspolisen föreslås ha tillsynsansvar för bedriver verksamhet inom vitt skilda områden, så som rättsväsende, socialförsäkring, beskattning och finansiell stabilitet. Detta ställer särskilda krav på områdesspecifik kunskap. Mot bakgrund av tillsynsobjektens komplexitet och att funktionen som tillsynsmyndighet föreslås inbegripa större ansvar och fler uppgifter bedömer vi att Säkerhetspolisens resursbehov inte förändras på något avgörande sätt i rollen som tillsynsmyndighet. Vad gäller samordningsansvaret innebär våra förslag att Säkerhetspolisen blir samordningsmyndighet för tio tillsynsmyndigheter. Säkerhetspolisens samordningsansvar sträcker sig därmed över alla områden där vi bedömer att det typiskt sett bedrivs säkerhetskänslig verksamhet, med undantag för området försvarsmateriel. Säkerhetspolisens samordningsansvar inrymmer också de fyra länsstyrelserna som föreslås få ansvar för tillsyn över myndigheter, kommuner, landsting och enskilda verksamhetsutövare som inte faller inom någon annan myndighets tillsynsansvar. Detta innebär att Säkerhetspolisens samordningsansvar är omfattande, både till
485
Konsekvenser SOU 2018:82
antalet tillsynsmyndigheter och sett till variationen av säkerhetskänslig verksamhet som bedrivs inom respektive tillsynsområde. För att samordningen ska fylla sin funktion menar vi att samordningsmyndigheterna behöver säkerställa att det finns kompetens inom respektive tillsynsområde, inte minst för att kunna utveckla tillsynsarbetet och förmedla relevant hotinformation. När det gäller just Säkerhetspolisens samordningsansvar ser vi att det fordras områdesspecifik kompetens inom ett stort antal områden. Detta medför självfallet ekonomiska konsekvenser, men det är enligt vår mening också helt nödvändigt för att genomföra våra förslag och få till den ambitionshöjning som vi menar är nödvändig inom tillsynen. Utifrån vad som nu anförts bedömer vi att Säkerhetspolisens uppskattning av tillkommande resursbehov framstår som rimligt. Vi noterar också att Säkerhetspolisen har tagit höjd för initialt tillkommande resursbehov, vilket är något som vi återkommer till nedan under rubriken
Beräkning av ekonomiska konsekvenser för det allmänna.
Affärsverket svenska kraftnät
Affärsverket svenska kraftnät har enligt den nya säkerhetsskyddsförordningen ansvar för tillsyn över enskilda verksamhetsutövare som bedriver elförsörjningsverksamhet. Enligt våra förslag i avsnitt 8.7 föreslås myndigheten har kvar detta tillsynsansvar samt få ansvar för enskilda verksamhetsutövare inom området dammanläggningar.
I enkätsvaret har Affärsverket svenska kraftnät uppgett bl.a. följande. Det finns uppskattningsvis 70 verksamhetsutövare inom områdena elförsörjning och dammanläggningar som har betydelse för Sveriges säkerhet och som därmed faller inom myndighetens tillsynsområde. Vilka resurser som krävs beror på vilken ambitionsnivå som ska gälla i fråga om tillsynsfrekvens. Antalet årsarbetskrafter som bedöms vara nödvändiga för uppdraget per den 1 april 2019 uppskattas till åtta om varje verksamhetsutövare genomgår tillsyn minst vart femte år. För att utföra utredningens föreslagna tillsynsuppdrag behövs uppskattningsvis ytterligare sju årsarbetskrafter om varje verksamhetsutövare ska genomgå tillsyn minst vart femte år. I beräkningen ingår även ett tiotal kontroller per år av skriftlig dokumentation så som säkerhetsskyddsanalyser.
486
SOU 2018:82 Konsekvenser
Enligt vår bedömning är antalet uppskattade tillsynsobjekt rimligt och i linje med beräkningarna som gjorts avseende dammanläggningar (se avsnitt 8.7 och prop. 2013/14:38 s. 24 och 41). Vidare menar vi att det av Affärsverket svenska kraftnät beräknade resursbehovet framstår som välgrundat och rimligt. Vi bedömer alltså att det behöver tillföras ungefär åtta årsarbetskrafter till följd av våra förslag. I sina beräkningar har Affärsverket svenska kraftnät gjort vissa antaganden när det gäller hur ofta tillsyn ska genomföras. Vi behandlar denna fråga i avsnitt 8.16 och föreslår att samordningsmyndigheterna ska reglera denna frågan om tillsynens regelbundenhet i föreskriftsform.
Transportstyrelsen
Transportstyrelsen har enligt den nya säkerhetsskyddsförordningen ansvar för tillsyn över enskilda verksamhetsutövare som bedriver flygtrafiktjänst för civil luftfart, flygtrafikledningstjänst för militär luftfart och verksamhet som i övrigt är av betydelse för luftfartsskydd, hamnskydd och sjöfartsskydd. Enligt våra förslag i avsnitt 8.7 får Transportstyrelsen ansvar för tillsyn över myndigheterna Sjöfartsverket, Trafikverket, Luftfartsverket samt för enskilda verksamhetsutövare inom områdena civil luftfart, vägtrafik, sjöfart och järnväg.
Transportstyrelsen har uppgett bl.a. följande. Resursbehovet för uppdraget enligt den nya säkerhetsskyddsförordningen uppskattas till tre årsarbetskrafter. För att kunna utföra uppgifterna enligt utredningens förslag uppskattas att det tillkommer tio årsarbetskrafter, varav 0,5 avser luftfart, 7,5 avser sjöfart, en avser järnväg och en avser väg. För sjöfart tillkommer uppskattningsvis 70 tillsynsobjekt, för järnväg nio och för väg fem. I beräkningarna beaktas inte kostnaden för uppbyggnad av it-system som kan bli omfattande. I ett senare skede har Transportstyrelsen framfört att den uppskattning som ursprungligen gjordes är i underkant.
Det finns skäl för att uppehålla sig något vid Transportstyrelsens beräkning av resursbehovet när det gäller skillnaden mellan den nya säkerhetsskyddsförordningen och våra förslag i avsnitt 8.7. När det gäller området luftfart tillkommer enligt Transportstyrelsens uppskattning 0,5 årsarbetskrafter som en följd av utredningens samlade
487
Konsekvenser SOU 2018:82
förslag. Det handlar då dels om att Luftfartsverket tillkommer som tillsynsobjekt, dels om att tillsynsmyndigheterna får ett bredare uppdrag i enlighet med vad vi har redogjort för ovan. Utredningen delar Transportstyrelsens preliminära uppskattning av resursbehovet i denna del. Likaså framstår uppskattningen som rimlig när det gäller järnväg och väg.
När det gäller sjöfart beräknar Transportstyrelsen att utredningens förslag medför ett behov av uppskattningsvis 7,5 årsarbetskrafter samt att det tillkommer 70 tillsynsobjekt. Transportstyrelsens beräkningar synes utgå från att myndigheten inte har ansvar för tillsyn över säkerhetsskyddet inom sjöfart. Enligt vad som framgår av den nya säkerhetsskyddsförordningen ska dock Transportstyrelsen utöva tillsyn över säkerhetsskyddet när det gäller enskilda verksamhetsutövare som bedriver flygtrafiktjänst för civil luftfart, flygtrafikledningstjänst för militär luftfart och verksamhet som i övrigt är av betydelse för luftfartsskydd, hamnskydd och sjöfartsskydd. Hamnskydd är åtgärder som ska vidtas i hamnar i syfte att skydda människor, infrastruktur och utrustning i hamnarna mot allvarliga olagliga handlingar medan sjöfartsskydd är en kombination av förebyggande åtgärder som syftar till att skydda sjöfarten och hamnanläggningarna mot hot om avsiktliga olagliga handlingar (1 kap. 1 § lagen [2006:1209] om hamnskydd och 2 § lagen [2004:487] om sjöfartsskydd). Detta är enligt vår bedömning ett relativt brett område och det kan vidare noteras att tillsynen enligt den nya säkerhetsskyddsförordningen ska avse verksamhet som är av betydelse för hamnskydd och sjöfartsskydd. Med hänsyn till det anförda framstår det som en rimlig tolkning att Transportstyrelsens tillsynsansvar när det gäller området sjöfart i stora delar redan täcks av ansvaret enligt den nya säkerhetsskyddsförordningen. Utredningen kan därför inte fullt ut dela Transportstyrelsens uppfattning att våra förslag skulle medföra ett behov av uppskattningsvis 7,5 årsarbetskrafter när det gäller sjöfart. Vad som talar för ett ökat resursbehov i förhållande till den nya säkerhetsskyddsförordning är, när det gäller sjöfart, att Sjöfartsverket tillkommer som tillsynsobjekt och att uppdraget som tillsynsmyndighet med våra förslag inbegriper ett större ansvar och fler uppgifter. Mot bakgrund av ovanstående samt med hänsyn till hur Transportstyrelsen har beräknat resursbehovet för övriga trafikslag bedömer vi att förslagen i betänkandet medför ett behov av uppskattningsvis ytterligare 1,5 årsarbetskrafter för tillsyn över sjöfart.
488
SOU 2018:82 Konsekvenser
Sammantaget bedömer vi alltså att Transportstyrelsen grovt räknat behöver ytterligare fyra årsarbetskrafter för att kunna utföra uppdraget som tillsynsmyndighet enligt våra förslag. Av dessa avser 0,5 civil luftfart, 1,5 sjöfart, 1 järnväg och 1 vägtrafik.
Post- och telestyrelsen
Enligt den nya säkerhetsskyddsförordningen har Post- och telestyrelsen ansvar för tillsyn över enskilda verksamhetsutövare som bedriver verksamhet som avser elektronisk kommunikation och posttjänst. Vi föreslår inga ändringar när det gäller Post- och telestyrelsens tillsynsområde.
I enkätsvaret har Post- och telestyrelsen uppgett bl.a. följande. Inom områdena elektronisk kommunikation och post finns knappt 1 000 aktörer. Bland dem bedriver uppskattningsvis 15 aktörer säkerhetskänslig verksamhet enligt säkerhetsskyddslagen och de blir därmed tillsynsobjekt under Post- och telestyrelsen. Tillsynsobjekten bedriver verksamhet av skiftande karaktär både vad gäller volym och komplexiteten på skyddsvärden. Skyddsvärdena hos tillsynsobjekten måste kartläggas, dokumenteras, bedömas och prioriteras för att därefter hanteras inom ramen för en tillsynsstrategi. Detta arbete kommer också integrera kunskap om hot och sårbarheter. Till detta kommer arbetet med tillsyn över faktisk kravuppfyllelse. Vidare kommer tekniska specialister att behöva engageras. Det kommer att behövas 6,5 årsarbetskrafter för att utföra uppdraget som föreslås av utredningen. Myndigheten har endast i mindre omfattning bedrivit tillsyn enligt den gamla säkerhetsskyddsregleringen. De säkerhetsskyddsresurser som finns används primärt för myndighetens egna behov av säkerhetsskydd. Det uppskattade resursbehovet utgör väsentligen det tillkommande behovet av årsarbetskrafter.
Enligt vår bedömning framstår Post- och telestyrelsens beskrivning av det planerade tillsynsarbetet som genomtänkt och rimligt. Eftersom vi inte föreslår någon ändring av Post- och telestyrelsens tillsynsområden kan vi dock inte dela bedömningen att hela resursbehovet om 6,5 årsarbetskrafter är en konsekvens av utredningens förslag. Myndigheten har redan ansvar för tillsyn över enskilda verksamhetsutövare inom elektronisk kommunikation och posttjänster och har fått medel tilldelade för den uppgiften. Vi menar därför att
489
Konsekvenser SOU 2018:82
resursbehovet som tillkommer av utredningens förslag bara kan härröra från den förändrade tillsynsroll som vi har beskrivit tidigare. Sett till antalet tillsynsobjekt och karaktären av dem bedömer vi att den förändrade tillsynsrollen medför ett tillkommande resursbehov om ungefär två årsarbetskrafter.
Länsstyrelsen i Stockholms län
Enligt den nya säkerhetsskyddsförordningen har länsstyrelserna ansvar för tillsyn över enskilda verksamhetsutövare som bedriver annan säkerhetskänslig verksamhet än sådana som ryms inom ansvarsområdet för Affärsverket svenska kraftnät, Transportstyrelsen och Post- och telestyrelsen.
Våra förslag om en ny tillsynsstruktur i avsnitt 8.7 bygger på att det finns en utpekad tillsynsmyndighet inom varje område där det typiskt sett bedrivs säkerhetskänslig verksamhet. Vi har identifierat ett antal sådana områden och fördelat dem bland sju tillsynsmyndigheter med lämplig områdeskompetens. Dessutom har tillsyn över de allra mest skyddsvärda verksamheterna reserverats för Försvarsmakten och Säkerhetspolisen. Därutöver föreslår vi att tillsynen över myndigheter, kommuner, landsting och enskilda verksamhetsutövare – som inte står under någon annan myndighets tillsyn – fördelas mellan länsstyrelserna i Stockholms län, Skåne län, Västra Götalands län och Norrbottens län utifrån verksamhetsutövarens säte. Säkerhetskänslig verksamhet som bedrivs i bolagsform, men som direkt eller indirekt ägs av kommuner, landsting eller myndigheter, kommer alltså bara omfattas av länsstyrelsernas tillsynsansvar om verksamheten ifråga faller utanför de särskilt utpekade tillsynsområdena.
I enkätsvaret har Länsstyrelsen i Stockholms län uppgett bl.a. följande. Tidsåtgången för tillsyn är svår att kvantifiera. Två viktiga faktorer är storleken och komplexiteten på verksamheterna som ska kontrolleras. Inom det föreslagna tillsynsområdet finns det uppskattningsvis minst 231 tillsynsobjekt. Beräkningen grundas på att det finns åtta länsstyrelser, 107 kommuner och nio landsting inom tillsynsområdet samt antagandet att det finns minst en enskild verksamhetsutövare per kommun. Det krävs 6–10 årsarbetskrafter för att utöva tillsyn enligt utredningens förslag. Länsstyrelsen bedriver i dag ingen tillsyn enligt säkerhetsskyddslagen.
490
SOU 2018:82 Konsekvenser
Mot bakgrund av hur länsstyrelsernas tillsynsområde har definierats, vilket vi utförligt har beskrivit ovan, menar vi att länsstyrelsens uppskattning av antalet tillsynsobjekt sannolikt är i överkant. Även med hänsyn till att länsstyrelsens föreslagna tillsynsområde utökats finns det enligt vår mening inte stöd för att det bedrivs ett så stort antal verksamheter av betydelse för Sveriges säkerhet inom tillsynsområdet. Vi grundar den uppfattningen på att det avgörande för om verksamhet rör Sveriges säkerhet är om en antagonistisk handling mot verksamhetens skulle kunna medföra skadekonsekvenser på nationell nivå (se prop. 2017/18:89 s. 44). Vi konstaterar också att länsstyrelsens beräkning inte utgår från någon analys av skyddsvärden och möjliga skadekonsekvenser inom tillsynsområdet. Det ska även vägas in att Länsstyrelsen i Stockholms län redan har ett ansvar för tillsyn över säkerhetsskyddet, som delvis överlappar vårt förslag, och att myndigheten har fått medel tilldelade för den uppgiften. Mot ovanstående bakgrund bedömer vi att det tillkommande resursbehovet till följd av våra förslag uppgår till grovt uppskattat fem årsarbetskrafter.
Länsstyrelsen i Skåne län
Länsstyrelsen i Skånes ansvar för tillsyn enligt den nya säkerhetsskyddsförordningen samt enligt våra förslag framgår ovan under rubriken Länsstyrelsen i Stockholms län.
I enkätsvaret har Länsstyrelsen i Skåne län bl.a. uppgett följande. Myndigheten saknar erfarenhet av tillsyn inom säkerhetsskyddsområdet och har inte genomfört någon kartläggning av verksamhetsutövare inom det föreslagna tillsynsområdet. Något adekvat underlag för bedömningen finns alltså inte. Myndighetens beräkning baseras i stället på erfarenheter från lagen (2003:778) om skydd mot olyckor och lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap. Beräkningen utgår från att det finns tre verksamhetsutövare per kommun, en verksamhetsutövare per landsting och en verksamhetsutövare per länsstyrelse. Det lägsta antalet verksamhetsutövare inom länsstyrelsens ansvarsområde beräknas därför uppgå till 181. Det motsvarar ett behov av sex årsarbetskrafter givet att varje verksamhetsutövare blir föremål för tillsyn minst var fjärde år.
491
Konsekvenser SOU 2018:82
Av samma skäl som anges ovan avseende Länsstyrelsen i Stockholms län bedömer vi att Länsstyrelsen i Skåne läns uppskattning av antalet tillsynsobjekt sannolikt är i överkant och att resursbehovet till följd av våra förslag uppgår till ungefär tre årsarbetskrafter.
Länsstyrelsen i Västra Götalands län
Länsstyrelsens ansvar för tillsyn enligt den nya säkerhetsskyddsförordningen samt enligt våra förslag framgår ovan under rubriken
Länsstyrelsen i Stockholms län.
I enkätsvaret har Länsstyrelsen i Västra Götalands län uppgett bl.a. följande. Det finns ett stort antal myndigheter med säte inom tillsynsområdet. Tidsåtgången för tillsyn av dessa myndigheter är mycket svår att uppskatta. Ytterligare en faktor som försvårar uppskattningen är avsaknaden av instruktioner som beskriver bl.a. tidsintervaller för tillsyn. Utifrån en nivåbedömning som baseras på konsekvenserna för Sveriges säkerhet finns det uppskattningsvis 30 verksamhetsutövare inom länsstyrelsens tillsynsområde. Det handlar då om möjliga skadekonsekvenser som resulterar i allvarlig eller synnerligen allvarlig påverkan på Sveriges säkerhet. Det behövs ungefär fem årsarbetskrafter för att utöva tillsyn enligt utredningens förslag. Myndigheten bedriver ingen tillsyn över säkerhetsskyddet.
Den uppskattning som Länsstyrelsen i Västra Götalands län gjort framstår enligt vår mening som rimlig och grundas på en analys av påverkan på Sveriges säkerhet. Eftersom myndigheten, i likhet med övriga länsstyrelser, redan har ett författningsreglerat ansvar för att bedriva tillsyn som i viss mån överlappar det föreslagna tillsynsområdet bedömer vi att det tillkommande resursbehovet uppgår till ungefär fyra årsarbetskrafter.
Länsstyrelsen i Norrbottens län
Länsstyrelsens ansvar för tillsyn enligt den nya säkerhetsskyddsförordningen samt enligt våra förslag framgår ovan under rubriken
Länsstyrelsen i Stockholms län.
I enkätsvaret har Länsstyrelsen i Norrbottens län uppgett bl.a. följande. Tidsåtgången för tillsyn är mycket svår att uppskatta, vilket delvis beror på att det inte finns några instruktioner som beskriver
492
SOU 2018:82 Konsekvenser
tidsintervaller för tillsyn. Inom det föreslagna tillsynsområdet finns uppskattningsvis 52 tillsynsobjekt bestående av 44 kommuner, fyra landsting, tre länsstyrelser och en övrig. Cirka 15 av dessa kan komma att kräva särskilda tillsyn eftersom verksamheten kan ha en allvarlig eller synnerligen allvarlig påverkan på Sveriges säkerhet. Övriga tillsynsobjekt bör ges grundtillsyn. Förslagen medför ett behov av 3–5 årsarbetskrafter. Myndigheten bedriver ingen tillsyn över säkerhetsskyddet.
Så vitt framgår utgår länsstyrelsens uppskattning endast delvis från en bedömning av vilka säkerhetskänsliga verksamheter som finns inom tillsynsområdet. Så vitt vi kan bedöma är uppskattningen av antalet tillsynsobjekt sannolikt i överkant. Mot den bakgrunden och med hänsyn till att myndigheten redan har ansvar för att bedriva tillsyn, som i viss mån överlappar det föreslagna tillsynsområdet, bedömer vi att det tillkommande resursbehovet uppgår till ungefär tre årsarbetskrafter.
Försvarets materielverk
I avsnitt 8.7 föreslår vi att ett antal myndigheter som inte tidigare haft i uppdrag att bedriva tillsyn över säkerhetsskyddet får ett sådant uppdrag. En av dem är Försvarets materielverk som föreslås få ansvar för tillsyn över enskilda verksamhetsutövare inom området försvarsmateriel.
Försvarets materielverk har uppgett bl.a. följande. Inom det föreslagna tillsynsområdet omfattas sannolikt samtliga företag som levererar byggentreprenader, varor, tjänster samt logistiktjänster kopplade till det militära försvarets förmåga. I praktiken är det fråga om samtliga leverantörer som Försvarets materielverk har tecknat säkerhetsskyddsavtal med. Inom tillsynsområdet finns också leverantörer som tecknat säkerhetsskyddsavtal med andra myndigheter i liknande syften. Andra som bedriver säkerhetskänslig verksamhet inom området försvarsmateriel kan vara företag som utvecklar koncept för framtida vapensystem eller teknik som väsentligen ska användas i ett militärt sammanhang, utan att det görs på uppdrag av en myndighet. Grovt uppskattat handlar det om ungefär 1 500–2 000 tillsynsobjekt inom tillsynsområdet. Frågan om hur många årsarbetskrafter som krävs för uppdraget är framför allt beroende av antalet tillsynsobjekt,
493
Konsekvenser SOU 2018:82
vilken typ av tillsyn som ska utövas, med vilket intervall som tillsynen ska utövas samt hur stora resurser som ska läggas på vägledning. Beräkningen utgår från att tillsynsobjekten kategoriseras utifrån totalt skyddsvärde och resultat av tidigare tillsyn. Verksamheter i den första kategorin kontrolleras årligen medan verksamheter i den andra kategorin kontrolleras var tredje år. Uppskattningsvis kräver utredningens förslag 14–18 årsarbetskrafter, vilket bl.a. baseras på myndighetens erfarenhet av kontrollverksamhet.
Enligt vår mening framstår Försvarets materielverks beräkning av antalet tillsynsobjekt som välgrundad. Myndigheten har god kännedom om verksamhetsutövare inom försvarsmaterielområdet, dels genom de säkerhetsskyddsavtal som slutits med leverantörer, dels genom erfarenheten som upparbetats i myndigheten när det gäller tillhandahållande av entreprenader, varor och tjänster till Försvarsmakten. Givet det stora antalet tillsynsobjekt och redogörelsen av resursbehovet i myndighetens enkät bedömer vi att ungefär 14 årsarbetskrafter är en rimlig uppskattning av det föreslagna tillsynsuppdraget.
Finansinspektionen
En annan ny tillsynsmyndighet enligt våra förslag i avsnitt 8.7 är Finansinspektionen. Vi föreslår att Finansinspektionen ska vara tillsynsmyndighet för enskilda verksamhetsutövare inom området finansiella företag samt motsvarande utländska företag som är etablerade i Sverige.
Finansinspektionen har uppgett bl.a. följande. Inom den finansiella sektorn är tjänster kopplade till det centrala betalningssystemet att betrakta som säkerhetskänsliga verksamheter. Myndigheten ser stora förändringar inom betalningsmarknaden och omfattningen av verksamhetsutövare inom det centrala betalningssystemet kan därför komma att revideras. Det uppskattade antalet verksamhetsutövare inom tillsynsområdet uppgår till åtta. Det kan dock inte uteslutas att ytterligare några aktörer bedriver säkerhetskänslig verksamhet, t.ex. de mellanstora bankerna. Utredningens föreslag skulle medföra ett permanent behov av 10 årsarbetskrafter. Uppskattningen bygger på antagandet att myndigheten kommer att genomföra ett
494
SOU 2018:82 Konsekvenser
tillsynsärende hos varje verksamhetsutövare årligen. Till detta tillkommer ett antal samråd och lämplighetsprövningar i samband med utkontraktering, vilket är att vänta då antalet utkontrakteringar har ökat de senare åren inom den finansiella sektorn. Dessutom finns det behov av att genomföra större vägledningsinsatser initialt.
Finansinspektionens redogörelse för antalet tillsynsobjekt är såvitt vi kan bedöma välgrundad. Antalet uppskattade årsarbetskrafter framstår dock som mycket hög i förhållande till antalet tillsynsobjekt, även med beaktande av verksamheternas komplexitet (jfr uppskattningarna som avser tillsynsområdena elektronisk kommunikation och försvarsmateriel). Det bör också vägas in att flera av tillsynsobjekten ifråga står under annan typ av tillsyn från Finansinspektionen, dock inte utländska företag som bedriver verksamhet i Sverige som motsvarar definitionen av finansiella företag. Mot den bakgrunden uppskattar vi att ungefär fem årsarbetskrafter får anses vara en rimlig uppskattning för tillsyn över enskilda verksamhetsutövare inom området finansiella tjänster.
Finansinspektionen har vidare anfört att de tillkommande säkerhetsprövningarna kommer att få en så stor omfattning att det inverkar på myndighetens resursbehov i betydande utsträckning. Det är svårt att på detta stadium bedöma behovet. Reservationsvis gör vi därför bedömningen att Finansinspektionens sammanlagda behov av resursförstärkning uppgår till 12 till 14 årsarbetskrafter.
Statens energimyndighet
Även Statens energimyndighet föreslås som ny tillsynsmyndighet i avsnitt 8.7. Tillsynsområdet omfattar enskilda verksamhetsutövare inom fjärrvärme-, naturgas-, olje- och drivmedelsförsörjning.
Statens energimyndighet har uppgett bl.a. följande. Ambitionen för tillsynen av säkerhetsskyddet bör sättas utifrån det säkerhetspolitiska läget. Situationen med den återupptagna planeringen för totalförsvaret, där energiområdet bedöms vara särskilt utsatt, innebär att ambitionen är betydligt högre än tidigare under 2000-talet. Det finns ungefär 70 skyddsvärda verksamheter inom det föreslagna tillsynsområdet. Uppskattningsvis behövs det nio årsarbetskrafter för att utföra den tillsyn som föreslås av utredningen. Det kommer också
495
Konsekvenser SOU 2018:82
att uppstå initiala kostnader under de första åren för uppstarts- och utvecklingsarbete.
Såvitt vi kan bedöma är uppskattningarna av antalet tillsynsobjekt och resursbehovet välgrundade och rimliga.
Strålsäkerhetsmyndigheten
Strålsäkerhetsmyndigheten är ytterligare en ny tillsynsmyndighet enligt våra förslag i avsnitt 8.7. Vi föreslår att Strålsäkerhetsmyndigheten ska vara tillsynsmyndighet för enskilda verksamhetsutövare inom området kärnteknisk verksamhet.
I enkätsvaret och i kompletterande frågor har Strålsäkerhetsmyndigheten uppgett bl.a. följande. Myndigheten utövar i dag tillsyn över flera kärntekniska verksamheter enligt lagen (1984:3) om kärnteknisk verksamhet. Det handlar bl.a. om tillsyn av fysisk säkerhet och informationssäkerhet, vilket bitvis sammanfaller med de uppgifter som myndigheten föreslås få. Bedömningen är dock att utredningens förslag ställer krav på förstärkning av såväl resurser som kompetens. Det föreslagna tillsynsområdet kärnteknisk verksamhet omfattar 14 tillsynsobjekt, varav tre utgör kärnkraftverk i drift, ett mellanlagring av använt kärnbränsle och ett produktion av kärnbränsle. Övriga anläggningar rör hantering eller slutförvar av radioaktivt avfall eller materialundersökningar. Det utökade resursbehovet med anledning av utredningens förslag uppgår till tre årsarbetskrafter plus förvaltningskostnader.
Vi bedömer att Strålsäkerhetsmyndighetens uppskattning av antalet tillsynsobjekt och resursbehov är välgrundad och rimlig och noterar att de utgår från myndighetens nuvarande ansvar över kärnteknisk verksamhet. Vi uppskattar alltså det tillkommande behovet till ungefär tre årsarbetskrafter.
496
SOU 2018:82 Konsekvenser
Summering av de föreslagna tillsynsmyndigheternas resursbehov
I nedanstående tabell summeras våra bedömningar av de föreslagna tillsynsmyndigheternas resursbehov som följer av våra förslag.
Tabell 11.1 Utredningens bedömning av tillsynsmyndigheternas ökade
resursbehov mätt i årsarbetskrafter
Myndighet Uppskattat tillkommande behov
Försvarsmakten
4
Säkerhetspolisen
40
Affärsverket svenska kraftnät
7
Transportstyrelsen
4
Post- och telestyrelsen
2
Länsstyrelsen i Stockholms län
5
Länsstyrelsen i Skåne län
3
Länsstyrelsen i Västra Götalands län
4
Länsstyrelsen i Norrbottens län
3
Försvarets materielverk
14
Finansinspektionen
12
Statens energimyndighet
9
Strålsäkerhetsmyndigheten
3
Summa
110
I sammanhanget finns det anledning att återigen understryka att ovanstående uppskattningar är högst preliminära. Framför allt beror det på att merparten av de föreslagna tillsynsmyndigheterna i dagsläget inte bedriver något systematiskt tillsynsarbete på säkerhetsskyddsområdet.
När det gäller resurser för att bedriva tillsyn finns det också anledning att framhålla vikten av att freda de resurser som avsatts för uppgiften. I våra kontakter med myndigheter har vi nämligen fått flera exempel på att resurser som avsatts för just tillsyn använts för andra ändamål. En grundförutsättning för att våra förslag ska få den effekt som avsetts är att resurserna används för det avsedda ändamålet. I avsnitt 8.7.5 utvecklar vi denna fråga.
497
Konsekvenser SOU 2018:82
Myndigheter som inte föreslås ha fortsatt ansvar för tillsyn
En konsekvens av våra förslag är att ett flertal tillsynsmyndigheter frigörs från uppgiften att utöva tillsyn över säkerhetsskyddet. Det gäller Länsstyrelserna i Blekinge, Dalarnas län, Gotlands län, Gävleborg, Hallands län, Jämtlands län, Jönköpings län, Kalmar län, Kronobergs län, Södermanlands län, Uppsala län, Värmland, Västerbotten, Västernorrland, Västmanlands län, Örebro län och Östergötland. Under rubriken Finansiering av tillsynsverksamheten återkommer vi hur detta påverkar finansieringen av våra förslag.
Domstolarna
I avsnitt 11.3.5 redogör vi för hur domstolarna berörs av våra förslag. Med hänsyn till vad som anförs i det avsnittet bedömer vi att våra förslag kommer att medföra en mycket begränsad kostnadsökning för berörda domstolar som kan hanteras inom ramen för tillgängliga medel.
Verksamhetsutövare i offentlig regi
I avsnitt 11.3.1 redogör vi för hur verksamhetsutövare berörs av våra förslag. Redogörelsen är generell och gäller alltså för alla verksamhetsutövare, oavsett i vilken regi som verksamheten bedrivs. Med hänsyn till vad som anförs i det aktuella avsnittet bedömer vi att våra förslag kommer att medföra en mycket begränsad kostnadsökning för säkerhetskänsliga verksamheter som bedrivs i offentlig regi. Denna kostnadsökning kan enligt vår bedömning hanteras inom ramen för tillgängliga medel.
Beräkning av ekonomiska konsekvenser för det allmänna
I detta avsnitt presenterar vi en preliminär beräkning av de ekonomiska konsekvenserna för det allmänna. Eftersom vi har kommit till slutsatsen att domstolarnas och de offentliga verksamhetsutövarnas kostnadsökningar kan hanteras inom ramen för tillgängliga medel behandlar vi här uteslutande de ekonomiska kostnaderna för de föreslagna tillsynsmyndigheterna.
498
SOU 2018:82 Konsekvenser
Vi har fört samtal med bl.a. Försvarsmakten och Säkerhetspolisen om kostnaden för att finansiera en årsarbetskraft med den kravprofil som är aktuell för tillsynsmyndigheterna. Vi har också använt oss av Statistiska Centralbyråns tjänst Lönesök för att beräkna de direkta lönekostnaderna avseende yrken som är relevanta, t.ex. it-säkerhetsspecialister och säkerhetsinspektörer.
3
Utifrån detta underlag gör vi
bedömningen att kostnaden för att finansiera en årsarbetskraft för tillsynsmyndigheterna uppgår till ungefär 1 000 000 kronor i direkta och indirekta lönekostnader. Eftersom vi har uppskattat tillsynsmyndigheternas resursbehov till 110 årsarbetskrafter beräknar vi att de ekonomiska konsekvenserna för det allmänna uppgår till ungefär 110 miljoner kronor i lönekostnader. I avsnitt 11.4.4 nedan diskuterar vi behovet av åtgärder för att etablera det föreslagna tillsynssystemet, vilket är en kostnad som enligt vår bedömning inte är möjlig att uppskatta i dagsläget.
11.4.2 Ekonomiska konsekvenser för enskilda
I avsnitt 11.3.1 och 11.3.2 redogör vi för hur enskilda verksamhetsutövare och enskilda som ingår förbindelse med verksamhetsutövare berörs av våra förslag. Där framkommer att de förslagen i de allra flesta fallen endast kan medföra marginella kostnadsökningar för enskilda verksamhetsutövare. För de situationer där förslagen har större konsekvenser för enskilda för vi resonemang om rätten till ersättning i vissa fall.
11.4.3 Finansiering av tillsynsverksamheten
I det föregående har vi gjort den preliminära bedömningen att våra förslag medför ekonomiska konsekvenserna för det allmänna om ungefär 100 000 000 kronor i form av lönekostnader. I detta avsnitt behandlar vi frågan om hur kostnadsökningen kan finansieras.
3 Tjänsten Lönesök på webbadressen www.scb.se/hitta-statistik/sverige-i-siffror/lonesok / Lönestatistiken som vi har använt oss av gäller år 2017.
499
Konsekvenser SOU 2018:82
Är avgiftsfinansiering ett alternativ?
I regeringens skrivelse En tydlig, rättssäker och effektiv tillsyn (skr. 2009/10:79) anges att tillsyn i normalfallet bör finansieras genom avgifter men att det inom vissa områden kan vara lämpligt att låta tillsynen finansieras via skattemedel. Förhållanden som talar för att tillsynen bör finansieras via skatter kan vara att objektsansvarigas eller tillsynsorganens kostnader för att administrera ett avgiftsuttag bedöms som höga i relation till avgiften i övrigt. Vidare anges kan det finnas fördelningspolitiska, effektivitetsmässiga och andra bärande motiv för att låta tillsynen finansieras med skattemedel, särskilt inom områden där tillsynen riktas mot statligt och kommunalt finansierad verksamhet (s. 19–20).
Enligt vår bedömning är det inte lämpligt att finansiera tillsynen inom säkerhetsskyddsområdet med avgifter, vilket vi utvecklar i det följande. En betydande del av den säkerhetskänsliga verksamheten bedrivs i offentlig regi. För offentliga verksamhetsutövare skulle avgiftsfinansierad tillsyn i praktiken innebära att offentliga medel endast omfördelas, samtidigt som det uppkommer administrativa kostnader för att hantera systemet. Avgiftsfinansierad tillsyn skulle också innebära ytterligare en administrativ uppgift för tillsynsmyndigheten. Detta blir särskilt påtagligt för tillsynsmyndigheter med ett stort antal tillsynsobjekt, t.ex. Försvarets materielverk. Dessutom menar vi att det är svårt att på ett rättvisande sätt bestämma nivån på tillsynsavgifter. Det kan mycket väl vara så att verksamhetsutövare lever upp till säkerhetsskyddsregleringens krav men trots det underkastas tillsyn, t.ex. om tillsynen prioriteras utifrån potentiella skadekonsekvenser snarare än regelefterlevnad. Det kan alltså inte uteslutas att ett system med avgiftsfinansierad tillsyn kan slå mycket hårt mot vissa verksamhetsutövare.
Ofta framhålls att valet av ett avgiftsfinansierat system förutsätter någon form av motprestation från tillsynsmyndigheten. Detta följer av att det anses rimligt att tillsynsobjektet förväntar sig att den avgift de betalar går att koppla till den tillsyn som genomförs.
4
Vi
menar att det resonemanget inte gör sig gällande inom säkerhetsskyddet. Tillsynen handlar i första hand om att säkerställa ett väl anpassat säkerhetsskydd i de verksamheter som är mest skyddsvärda
4 Se Statskontorets rapport Tillsyn enligt NIS-direktivet – kostnader och finansiering (2018:7) s. 83–84.
500
SOU 2018:82 Konsekvenser
för Sverige. En avgiftsfinansierad tillsyn skulle kunna leda att både tillsynsmyndigheter och tillsynsobjekt fäster avseende vid inslaget av motprestation, vilket sannolikt leder till att fel insatser prioriteras. Vi menar därför att tillsynen bör finansieras genom anslag.
Förslaget kan delvis finansieras genom kostnadsminskningar
Våra förslag om en ny tillsynsstruktur medför att 17 länsstyrelser frigörs från uppdraget att bedriva tillsyn över säkerhetsskyddet. Eftersom länsstyrelserna har fått medel för denna uppgift medför våra förslag att det frigörs medel som kan överföras till resterande tillsynsmyndigheter, företrädesvis länsstyrelserna i Stockholms, Västra Götalands, Skåne och Norrbottens län.
Vi har efterfrågat uppgifter om hur stora medel som avsatts för de 17 länsstyrelsernas uppgift att bedriva tillsyn och har fått till svar att den uppgiften inte finns att tillgå på central nivå. Förslagsvis kan frågan därför hanteras i dialog med respektive myndighet.
Övrig finansiering
Trots att en del av våra förslag kan finansieras genom de kostnadsminskningar som nämnts i föregående avsnitt kvarstår ett betydande behov av finansiering. Att finansiera förslagen genom omprioriteringar inom aktuella utgiftsområden riskerar enligt vår mening att fördröja andra angelägna åtgärder som också har betydelse för Sveriges säkerhet, t.ex. den återupptagna totalförsvarsplaneringen. Vi ser alltså inte att det skulle vara möjligt att föra över medel från andra verksamheter för att finansiera våra förslag. Därför menar vi att det inte finns några andra hållbara finansieringsalternativ än att anslagen för tillsynsmyndigheterna ökar.
11.4.4 Åtgärder för att etablera det föreslagna tillsynssystemet
En viktig aspekt för att utredningens förslag ska få önskat genomslag är att det läggs resurser på att etablera tillsynssystemet. Med etablering menar vi i detta sammanhang de inledande åtgärder som krävs för att tillsynssystemet efter en tid ska kunna gå över i ett normalläge
501
Konsekvenser SOU 2018:82
och verka som avsett. Hur lång denna etableringsfas är och vilka åtgärder som inryms låter sig inte besvaras utan en ingående analys av förutsättningarna inom respektive myndighet.
Erfarenheterna inom säkerhetsskyddet visar enligt vår mening att det inte är en framkomlig väg att låta etableringen bli en fråga som överlämnas till respektive myndighet att själv hantera. För denna slutsats talar det faktum att tillsynen över säkerhetsskyddet varit eftersatt under mycket lång tid, trots att det funnits ett författningsreglerat ansvar att utföra sådan tillsyn.
Enligt vår mening är det inte möjligt att i detta läge göra en fullständig analys av förutsättningarna inom respektive föreslagen tillsynsmyndighet. Därför har vi inte heller uppskattat kostnaderna för att etablera det föreslagna tillsynssystemet. Däremot för vi i det följande några allmänna resonemang om hur etableringsfrågan skulle kunna hanteras.
En metod för att försäkra sig om att etableringen får fullt genomslag skulle kunna vara att någon av samordningsmyndigheterna får i uppgift att koordinera och stödja arbetet hos tillsynsmyndigheterna. Detta påverkar självfallet inte respektive myndighets egna ansvar att fullfölja de uppgifter som ålagts. Som Säkerhetspolisen framfört i sitt enkätsvar skulle en stödjande insats kunna vara att samordningsmyndigheterna under en övergångsfas deltar i tillsynsarbetet till dess att tillsynsmyndigheten har nått en tillräcklig mognad. Det viktigaste är dock inte hur man går till väga för att tillsynen ska nå ett normalläge och verka som avsett. Det viktigaste är att insikten om att det kommer att krävas insatser för att så snart det är möjligt komma upp i den nivå av tillsyn som våra förslag ger uttryck för.
Vid sidan av de resurser som är nödvändiga för att finansiera själva tillsynssystemet kommer det under en begränsad tid alltså krävas särskilda resurser för att etablera tillsynssystemet. Eftersom det i detta läge inte är möjligt att göra en fullständig analys av vilka insatser som behövs inom respektive myndighet så behöver frågan tas om hand i den fortsatta behandlingen av våra förslag.
502
SOU 2018:82 Konsekvenser
11.4.5 Kompetensförsörjning och behov av utbildning
En förutsättning för att våra förslag ska kunna sjösättas och få önskad effekt är att det hos såväl verksamhetsutövare som tillsynsmyndigheter kan anställas tillräckligt med personal som har tillräcklig kompetens om säkerhetsskydd och övrig relevant expertis. Många tillsynsmyndigheter har pekat på svårigheten att rekrytera personal med rätt kompetens och har framhållit att frågan inte bara handlar om ökade anslag, utan snarare om att det inte tillförs efterfrågad kompetens till arbetsmarknaden. Bristen på arbetskraft gäller inte minst i fråga om personer med kunskap om it-säkerhet, informationssäkerhet och allmän kunskap om säkerhetsskydd. Den stora bristen på sådan arbetskraft har påpekats från flera olika aktörer i samhället. Exempelvis vittnar flera myndigheter om att bristen på arbetskraft redan har resulterat i en osund konkurrens där myndigheter med liknande behov till stor del rekryterar från varandra. Detta leder till att kostnaden för personal skenar.
Även om frågor om kompetensförsörjning inte uttryckligen omfattas av vårt uppdrag anser vi det nödvändigt att i detta sammanhang lyfta frågan. Om kompetensförsörjningen inte kan hanteras kan våra förslag nämligen inte realiseras, vilket i sin tur kommer att leda till att den nödvändiga ambitionshöjningen i fråga om säkerhetsskydd inte kan ske. Bristen på personer med rätt kompetens är redan nu ett stort problem, och det är uppenbart att problemet kommer att växa när den nya säkerhetsskyddslagen träder i kraft och träffar fler aktörer. Därutöver kommer våra förslag, som vi tidigare utvecklat, att innebära ett behov av en betydande nyrekrytering. Med hänsyn till det anförda anser vi att det omgående behöver tas initiativ för att möta det behov som finns av utbildning. Som ett första steg föreslår vi därför att Försvarsmakten och Säkerhetspolisen uppdras att utreda hur kompetensförsörjningen kan tryggas. Det bör dock redan i detta sammanhang understrykas att det kommer att krävas ytterligare resurser för att kompetensförsörjningen inom säkerhetsskyddsområdet ska kunna tryggas.
Så vitt vi känner till saknas det en grundutbildning i säkerhetsskydd. Vad som står till buds en utbildning av säkerhetsskyddschefer. Utbildningen, som genomförs av Centrum för totalförsvar och samhällets säkerhet (CTSS) vid Försvarshögskolan på gemensamt uppdrag av Myndigheten för samhällsskydd och beredskap (MSB)
503
Konsekvenser SOU 2018:82
och Säkerhetspolisen, har varit så efterfrågad att man vid intagning tvingats prioritera säkerhetsskyddschefer från de mest skyddsvärda verksamheterna. Det har alltså inte ens funnits kapacitet för alla säkerhetsskyddschefer och än mindre för andra personer som arbetar med säkerhetsskydd eller som planerar att göra det. Någon form av grundutbildning eller liknande utbildningsinsatser, med kapacitet för att utbilda fler personer, framstår därför som nödvändig.
En annan aspekt som rör utbudet av relevant arbetskraft är kravet i 3 kap. 11 § nya säkerhetsskyddslagen på att anställningar i stat, kommun och landsting som är placerade i säkerhetsklass 1 eller 2 endast får innehas av den som är svensk medborgare. Vi menar att det kan finnas skäl att överväga om detta krav bör uppmärksammas inom utbildningsområdet, t.ex. när det gäller antagningen till utbildningar som är av direkt betydelse för att kunna upprätthålla kompetens inom säkerhetsskyddet.
11.4.6 Särskilt om beslut om placering i säkerhetsklass
Enligt 5 kap. 11 § nya säkerhetsskyddsförordningen har tillsynsmyndigheten ansvar för beslut om placering i säkerhetsklass 2 och 3 inom respektive tillsynsområde. Behovet av placering i säkerhetsklass följer av vilka uppgifter och vilken verksamhet som en fysisk person kan få del av genom en anställning eller något annat deltagande i säkerhetskänslig verksamhet (3 kap. 5 § nya säkerhetsskyddslagen). Vi föreslår inga ändringar när det gäller bestämmelserna om placering i säkerhetsklass. Antalet beslut om placering i säkerhetsklass bör därför, allt annat lika, inte påverkas av våra förslag.
Däremot lämnar vi i avsnitt 8.7 förslag på ändringar när det gäller vilka myndigheter som ska bedriva tillsyn och vilka områden de ska ha tillsyn över. De myndigheter som vi föreslår ska frigöras från ansvaret för tillsyn kommer därmed inte längre att ansvara för denna typ av beslut om placering i säkerhetsklass 2 och 3. För myndigheter som får ett nytt eller ändrat tillsynsområde kommer ansvaret för beslut om placering i säkerhetsklass 2 och 3 att följa det föreslagna området. Detta har påtalats av Strålsäkerhetsmyndigheten och Finansinspektionen.
504
SOU 2018:82 Konsekvenser
Våra förslag bör i detta avseende alltså inte medföra några ekonomiska konsekvenser på totalen, utöver vad som initialt kan krävas för att initiera arbetet hos de tillsynsmyndigheter som inte tidigare haft denna uppgift. Vi kan dock konstatera att samtliga föreslagna tillsynsmyndigheter som inte tidigare bedrivit tillsyn över säkerhetsskyddet torde vara bekanta med förutsättningarna för beslut om placering i säkerhetsklass eftersom de enligt bilagan till den gamla säkerhetsskyddsförordningen redan har ansvar för beslut om placering i säkerhetsklass när det gäller den egna verksamheten och för anställningar och uppdrag hos en anbudsgivare eller leverantör med vilken de ingått säkerhetsskyddsavtal. Det talar enligt vår mening för att uppstartsfasen för denna del av uppdraget som tillsynsmyndighet kan medföra en viss men ändå begränsad arbetsinsats.
I dagsläget är det inte tekniskt möjligt att på central nivå få fram uppgifter om antalet beslut om placering i säkerhetsklass och registerkontroll som varje myndighet fattar inom ramen för dess tillsynsansvar. Mot den bakgrunden samt med hänsyn till att våra förslag endast medför att ansvaret för placering i säkerhetsklass flyttas mellan ett fåtal myndigheter har vi inte funnit skäl för att närmare utveckla de ekonomiska konsekvenserna i detta avseende, utöver vad som i avsnitt 11.4.1 anförts om Finansinspektionen.
11.5 Övriga konsekvenser
11.5.1 Sveriges säkerhet
Våra förslag innebär en tydlig ambitionshöjning i fråga om säkerhetsskydd, både när det gäller verksamhetsutövares interna säkerhetsskydd och i samband med att utomstående på olika sätt kopplas in i säkerhetskänslig verksamhet. De innebär också en tydlig ambitionshöjning när det gäller tillsyn över säkerhetsskyddet hos både verksamhetsutövare och vissa utomstående som kopplas in i verksamheten via säkerhetsskyddsavtal. Som vi har utvecklat i det föregående innebär våra förslag olika konsekvenser, däribland kostnadsmässiga konsekvenser. Vi har i våra överväganden utvecklat varför förslagen behövs. Det finns dock anledning att även här uppehålla sig något vid detta.
505
Konsekvenser SOU 2018:82
Säkerhetsskydd handlar om skyddet för Sveriges allra mest skyddsvärda verksamheter. Det handlar alltså om att skydda funktioner och förmågor som är nödvändiga för att Sverige som nation ska kunna fungera. Konsekvenserna av att skyddet fallerar kan därför bli mycket allvarliga. Händelser i närtid och våra egna kartläggningar har visat på allvarliga brister i samband med bl.a. utkontraktering av säkerhetskänslig verksamhet. Det finns också ett antal exempel på situationer där brister i säkerhetsskyddet har medfört konkret skada för Sveriges säkerhet.
Ett starkt säkerhetsskydd är en förutsättning för att övriga delar av samhället ska fungera och kunna stå emot bl.a. antagonistiska hot av olika slag. Det är därför av ytterligt stor betydelse att det införs effektiva förebyggande åtgärder av det slag som vi nu lägger fram, inte minst mot bakgrund av att säkerhetsskyddet i viktiga avseenden varit eftersatt.
Vi bedömer att de åtgärder som föreslås skulle innebära en kraftfull och nödvändig förstärkning av skyddet för Sveriges säkerhet. Samtidigt medför våra förslag alltså ett relativt stort behov av finansiering. Kostnaderna måste dock ställas mot konsekvenserna av att inte genomföra våra förslag. En sådan konsekvens skulle vara att det även i fortsättningen finns luckor i skyddet i flera situationer där utomstående aktörer engageras i säkerhetskänslig verksamhet. Andra konsekvenser skulle bli att tillsynsmyndigheterna alltjämt saknar ingripandebefogenheter och möjlighet att besluta om åtgärdsförelägganden och sanktioner när verksamhetsutövare brister i säkerhetsskyddshänseende. Ytterligare konsekvenser av ett bristande säkerhetsskydd kan vara att Sveriges internationella anseende försämras. Konsekvensen av att känsliga uppgifter röjs inom ramen för svenska myndigheters internationella samarbeten har belysts i betänkandet
Förstärkt skydd för uppgifter av betydelse för ett internationellt samarbete för fred och säkerhet som Sverige deltar i (SOU 2017:70 s. 209–211).
Förutom det som nu sagts måste man vid en sammantagen bedömning av konsekvenserna av våra förslag beakta att de förstärkningar som vi föreslår även kommer till nytta även på andra områden, t.ex. samhällets krisberedskap och den återupptagna planeringen av totalförsvaret.
506
SOU 2018:82 Konsekvenser
Vi menar därför att våra förslag är alldeles nödvändiga för att säkerhetsskyddet ska kunna fylla dess viktigaste funktion, nämligen att säkerställa ett skydd för de verksamheter som är allra mest skyddsvärda för Sverige.
11.5.2 Förslagens konsekvenser för den kommunala självstyrelsen
Enligt 15 § kommittéförordningen ska vi redogöra för konsekvenserna av våra förslag i de avseenden som förslagen har betydelse för den kommunala självstyrelsen. Om förslagen i betänkandet påverkar den kommunala självstyrelsen ska vi enligt direktiven också redovisa de särskilda avvägningar som lett fram till förslagen.
Våra förslag kan innebära inskränkningar i verksamhetsutövares möjligheter att förfoga över sin egendom. I kapitel 6 och 7 föreslår vi att bl.a. utkontrakteringar, upplåtelser och överlåtelser i särskilda fall ska kunna förbjudas om de är olämpliga från säkerhetsskyddssynpunkt. Detta gäller oavsett i vilken form som den säkerhetskänsliga verksamheten bedrivs och kommer därför att träffa verksamhetsutövare i kommuner och landsting. Frågan är då om våra förslag i kapitel 6 och 7 påverkar den kommunala självstyrelsen. Eftersom den nya säkerhetsskyddslagen gäller för all verksamhet som är av betydelse för Sveriges säkerhet är det inte möjligt att med något större mått av säkerhet avgöra att vilka kommunala angelägenheter som skulle kunna påverkas av våra förslag. Det kan dock enligt vår mening inte uteslutas att våra förslag skulle kunna komma att påverka säkerhetskänslig verksamhet, eller egendom i sådan verksamhet, som enligt lag ankommer på kommuner eller landsting att utföra, t.ex. räddningstjänst, civilt försvar och sjukvård.
Om ett förslag påverkar den kommunala självstyrelsen bör det undersökas om syftet med förslaget kan uppnås på ett för den kommunala självstyrelsen mindre ingripande sätt än vad som föreslås. Tanken är att om det finns olika sätt att uppnå samma mål så ska man välja det som lägger minst band på kommunernas självbestämmanderätt (prop. 2000/01:36, bilaga 4, s. 30–34). Vi menar att den nu föreslagna regleringen inte kan anses gå utöver vad som är nödvändigt för att skydda syftet med säkerhetsskyddsregleringen, nämligen att skydda det allra mest skyddsvärda. Dessutom har vi utformat ingripandemöjligheterna på så sätt att det alltid ska göras
507
Konsekvenser SOU 2018:82
en proportionalitetsbedömning i det enskilda fallet. Vi menar därför att våra förslag berör den kommunala självstyrelsen på det minst ingripande sätt som är möjligt.
11.5.3 Förslagen överensstämmer med de skyldigheter som följer av Sveriges anslutning till EU
Enligt 15 a § kommittéförordningen och 6 § 6 förordningen om konsekvensutredning vid regelgivning ska vi presentera en bedömning av om våra förslag överensstämmer med eller går utöver de skyldigheter som följer av Sveriges anslutning till Europeiska unionen.
Av artikel 4.2 Fördraget om Europeiska unionen (FEU) följer bl.a. att EU ska respektera medlemsstaternas väsentliga statliga funktioner, särskilt funktioner vars syfte är att hävda deras territoriella integritet, upprätthålla lag och ordning och skydda den nationella säkerheten. I synnerhet ska den nationella säkerheten också i fortsättningen vara varje medlemsstats eget ansvar. Enligt artikel 5.1 och 2 FEU ska principen om tilldelade befogenheter styra avgränsningen av unionens befogenheter vilket innebär att unionen endast ska handla inom ramen för de befogenheter som medlemsstaterna har tilldelat den i fördragen för att nå de mål som fastställs där. Varje befogenhet som inte har tilldelats unionen i fördragen ska tillhöra medlemsstaterna. Säkerhetsskyddsregleringen syftar i första hand till att ge skydd för Sveriges allra mest skyddsvärda verksamheter. Det står alltså klart att säkerhetsskyddsregleringen avser en del av den nationella säkerheten.
I avsnitt 6.13 och 7.14 har vi redogjort för hur våra förslag förhåller sig till Europakonventionens krav vad gäller rätten till en rättvis rättegång, egendomsskyddet och näringsfriheten. Vi hänvisar därför till redogörelserna i respektive kapitel.
Mot ovanstående bakgrund bedömer vi att förslagen i detta betänkande överensstämmer med de skyldigheter som följer av Sveriges anslutning till EU.
508
SOU 2018:82 Konsekvenser
11.5.4 Behov av speciella informationsinsatser
Enligt 15 a § kommittéförordningen och 6 § 7 förordningen om konsekvensutredning vid regelgivning ska vi bedöma om det finns behov av speciella informationsinsatser.
Vi menar att behovet av information till de som bedriver säkerhetskänslig verksamhet till viss del tillgodoses genom tillsynsmyndigheternas skyldighet att lämna vägledning. Vi utvecklar förslaget om vägledning i avsnitt 8.17.
Nästa fråga är om det finns behov av ytterligare informationsinsatser till följd av våra förslag. I våra kartläggningar har vi bl.a. funnit att det finns aktörer som bedriver säkerhetskänslig verksamhet men som inte tillämpar säkerhetsskyddsregleringen. Vi har också funnit att kunskaper om egna skyddsvärden ofta är begränsade. Vi lämnar en rad förslag för att komma tillrätta med dessa och andra problem som vi har identifierat. Vi ser dock att det finns en poäng med att parallellt bedriva informationsinsatser om säkerhetsskyddet och de utökade krav som vi föreslår. Det skulle nämligen kunna leda till att vissa av de problem som identifierats kan förebyggas eller hanteras på ett tidigare stadium än tidigare. Det skulle också innebära att informationen når ut till personalkategorier som har en viktig roll inom säkerhetsskyddet men som traditionellt inte har ingått i säkerhetsskyddsorganisationen, t.ex. personer i ledande ställningar och personer som arbetar med anskaffning. Vi menar därför att det vore värdefullt med någon form av informationsinsats rörande säkerhetsskyddet.
Denna fråga kan lämpligen hanteras inom ramen för den fortsatta beredningen av detta betänkande.
11.5.5 Övrigt
Vi bedömer inte att förslagen påverkar sysselsättning och offentlig service i olika delar av landet, jämställdhet mellan kvinnor och män, möjligheterna att nå de integrationspolitiska målen eller små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till större företags (jfr 15 § kommittéförordningen).
509
12 Författningskommentar
12.1 Förslaget till lag om ändring i säkerhetsskyddslagen (2018:585)
2 kap. Grundläggande bestämmelser om säkerhetsskydd
Skyldigheter för den som bedriver säkerhetskänslig verksamhet
1 a §
Paragrafen, som är ny, innehåller bestämmelser om anmälningsskyldighet för verksamhetsutövare. Övervägandena finns i avsnitt 8.14.
Anmälningsskyldigheten för den som bedriver säkerhetskänslig verksamhet följer av första stycket. Där framgår det att skyldigheten gäller för alla som bedriver säkerhetskänslig verksamhet, dvs. alla som omfattas av lagen enligt 1 kap. 1 § (verksamhetsutövare). Det krävs inte att hela verksamheten är säkerhetskänslig utan det räcker att den är det till någon del för att anmälningsskyldighet ska inträda. Anmälan ska göras till den myndighet som utövar tillsyn enligt 4 a kap. 1 § första stycket och den ska ske utan dröjsmål efter det att den säkerhetskänsliga verksamheten påbörjas. För den som redan bedriver säkerhetskänslig verksamhet när paragrafen träder i kraft innebär kravet att anmälan ska ske utan dröjsmål därefter.
Enligt andra stycket är alla verksamhetsutövare skyldiga att till tillsynsmyndigheten anmäla när den säkerhetskänsliga verksamheten har upphört. Även denna anmälan ska göras utan dröjsmål.
Regler om sanktionsavgift för den som försummar anmälningsplikten enligt första eller andra stycket finns i 4 b kap. 2 § första stycket.
511
Författningskommentar SOU 2018:82
Säkerhetsskyddsavtal
6 §
Paragrafen innehåller bestämmelser om säkerhetsskyddsavtal när verksamhetsutövare avser att genomföra en upphandling, ingå ett avtal eller inleda någon annan typ av samverkan eller samarbete med en utomstående part. Övervägandena finns i avsnitt 5.4 och 5.6.
I första stycket anges att den som bedriver säkerhetskänslig verksamhet under vissa förutsättningar är skyldig att se till att den utomstående part som man avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med ingår ett säkerhetsskyddsavtal. En nyhet är att bestämmelsen gäller oavsett vilken roll som verksamhetsutövaren har i samarbetet. Detta innebär bl.a. att en leverantör kan ställa krav på säkerhetsskyddsavtal med beställaren, om förutsättningarna i övrigt är uppfyllda. Om båda parter bedriver säkerhetskänslig verksamhet kan båda vara skyldiga att kräva att motparten ingår ett säkerhetsskyddsavtal i syfte att respektive parts skyddsvärden ska tillvaratas hos den andre.
I bestämmelsen tas upphandling och ingående av avtal upp som exempel på sådana förfaranden som omfattas av skyldigheten att ingå ett säkerhetsskyddsavtal. Till skillnad från vad som tidigare gällt omfattar bestämmelsen emellertid inte bara upphandling utan alla slags avtal, samarbeten och samverkan, med de undantag som framgår av andra stycket eller av förordning eller regeringsbeslut (se författningskommentaren till 7 § andra stycket). En förutsättning är dock att det handlar om ett förfarande som involverar någon utomstående part. Med det menas exempelvis en annan myndighet eller en annan enskild aktör. Om verksamhetsutövaren är ett bolag kan det t.ex. handla om ett annat bolag. Även ett bolag i samma koncern bör anses som en utomstående aktör (jfr prop. 2017/18:89 s. 105). Anskaffningar av varor, tjänster och byggentreprenader mellan olika statliga myndigheter omfattas av skyldigheten oberoende av den omständigheten att alla statliga myndigheter ingår i den juridiska personen staten. Det saknar betydelse om reglerna om offentlig upphandling ska tillämpas eller inte. Ledning vid tolkning av begreppet anskaffning kan dock hämtas i upphandlingslagstiftningen.
Skyldigheten att ingå säkerhetsskyddsavtal gäller inte när verksamhetsutövaren anställer en arbetstagare eller anlitar en uppdragstagare för att delta i den egna säkerhetskänsliga verksamheten. Den
512
SOU 2018:82 Författningskommentar
som anställs eller anlitas får då anses ha inlemmats i verksamheten och det är därmed inte fråga om en utomstående aktör. Om den fysiska person som anlitas uppträder som självständig i förhållande till verksamhetsutövaren så bör denne dock som regel ses som en utomstående aktör (jfr prop. 1979/80:2 Del A s. 126–128). När motparten utgörs av en annan juridisk person får det regelmässigt anses vara fråga om en utomstående part, men detta kriterium är inte ensamt avgörande. Två statliga myndigheter bör som tidigare framgått ses som utomstående i förhållande till varandra, även om de formellt ingår i den juridiska personen staten. Skyldigheten att se till att det tecknas ett säkerhetsskyddsavtal kan antingen utlösas av att förfarandet kan innebära att den utomstående parten får tillgång till säkerhetsskyddsklassificerade uppgifter på en viss nivå, eller att förfarandet i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Kravet på säkerhetsskyddsavtal gäller enligt första punkten när förfarandet kan innebära att den utomstående parten får tillgång till säkerhetsskyddsklassificerade uppgifter i lägst säkerhetsskyddsklassen konfidentiell. Detta överensstämmer i huvudsak med vad som gällt enligt 2 kap. 6 § nya säkerhetsskyddslagen i dess tidigare lydelse, med den skillnaden att det inte finns någon begränsning till upphandlingssituationer. Enligt andra punkten gäller kravet på säkerhetsskyddsavtal även om förfarandet inte berör säkerhetsskyddsklassificerade uppgifter, förutsatt att samverkan i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Det kan t.ex. vara fråga om upphandling av it-system eller andra elektroniska kommunikationslösningar som avser för samhället vitala funktioner och som medför höga krav på tillgänglighet och riktighet. Det kan även gälla situationer där en utomstående part ska delta i säkerhetskänslig verksamhet i övrigt. Detta kan t.ex. vara fallet på t.ex. kärnkraftverk och på flygplatser där den säkerhetskänsliga verksamheten enbart i begränsad omfattning avser säkerhetsskyddsklassificerade uppgifter.
Liksom tidigare gäller att säkerhetsskyddet hos en motpart som omfattas direkt av säkerhetsskyddslagen inte får göras mindre omfattande än vad som följer av 1 §. Detta följer av hänvisningen till 1 § i 6 a § 1.
513
Författningskommentar SOU 2018:82
Enligt andra stycket undantas vissa slags samarbeten och samverkan mellan statliga myndigheter från kravet på säkerhetsskyddsavtal. Undantaget gäller bara för sådan samverkan och sådana samarbeten som avser annat än en anskaffning av varor, tjänster och byggentreprenader. Vid samarbeten och samverkan mellan statliga myndigheter som omfattas av undantaget krävs det alltså inte något säkerhetsskyddsavtal. Att regeringen kan föreskriva om ytterligare undantag i förordning och även besluta om undantag i enskilda fall framgår av bemyndigandet i 7 § andra stycket.
Den omständigheten att det inte ställs något krav på säkerhetsskyddsavtal för all samverkan vid säkerhetskänslig verksamhet innebär inget hinder mot att sådana avtal ändå ingås när det t.ex. gäller ett avtal eller annat samarbete där det förekommer säkerhetsskyddsklassificerade uppgifter i den lägsta säkerhetsskyddsklassen. Detsamma gäller vid sådan myndighetssamverkan som inte omfattas av ett krav på säkerhetsskyddsavtal. Det kan därför vara lämpligt att ingå ett sådant avtal i vissa fall. Ett exempel på en situation där det kan vara lämpligt är att motparten i samverkan eller samarbetet har liten vana av att hantera säkerhetsskyddsklassificerade uppgifter och har ett mindre utvecklat säkerhetsskyddsarbete.
Tredje stycket innehåller en ny bestämmelse som förtydligar något
som redan gäller, nämligen att reglerna om säkerhetsprövning i 3 kap. får tillämpas när säkerhetsskyddsavtal har ingåtts. Säkerhetsskyddsavtalet kan alltså utgöra en grund för säkerhetsprövning och placering i säkerhetsklass.
6 a §
I paragrafen framgår vad ett säkerhetsskyddsavtal ska innehålla. Övervägandena finns i avsnitt 6.11.3.
Bestämmelsen i första punkten har av redaktionella skäl flyttats från 6 § första stycket och innebär ingen förändring i förhållande till vad som gällt hittills förutom att den inte bara omfattar leverantörer utan alla utomstående parter som verksamhetsutövaren ingått säkerhetsskyddsavtal med enligt 6 §.
514
SOU 2018:82 Författningskommentar
Andra punkten är en nyhet. Det framgår där att verksamhets-
utövaren ska se till att det i säkerhetsskyddsavtalet anges att vederbörande har rätt att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden.
6 b §
Paragrafen motsvarar delvis tidigare 6 § andra stycket. Bestämmelsen har av redaktionella skäl flyttats till en egen paragraf. Övervägandena finns i avsnitt 5.4.7 och 6.11.3.
Kravet på att verksamhetsutövaren kontrollerar att motparten följer säkerhetsskyddsavtalet fanns tidigare i 6 § andra stycket. Ordet ”leverantören” har bytts ut till ”den utomstående parten” till följd av ändringarna i 6 §. Kravet på verksamhetsutövaren att se till att säkerhetsskyddsavtalet revideras om det krävs på grund av ändrade förhållanden är nytt.
Det är inte möjligt att uttömmande beskriva vilka ändrade förhållanden som kan föranleda att säkerhetsskyddsavtalet behöver revideras. Ett vanligt exempel är att det säkerhetsskyddsavtal som ingåtts i samband med inledandet av ett upphandlingsförfarande behöver revideras när affärsavtalet ingås. Ett mindre vanligt exempel skulle kunna vara att hotbilden har förändrats och att det därför ställs andra krav på informationssäkerhetsåtgärder eller fysisk säkerhet för lokaler där en viss verksamhet bedrivs. Ett annat exempel kan vara att uppgifter med en högre säkerhetsskyddsklass har tillkommit i verksamheten, eller att det med tiden har ackumulerats en sådan mängd säkerhetsskyddsklassificerade uppgifter hos verksamhetsutövarens motpart att det måste ställas högre krav på säkerhetsskydd. Det kan också förekomma att förhållandena ändrats på så sätt att det finns anledning att sänka kraven på säkerhetsskydd. De ändrade förhållandena måste ha bäring på de krav som ställs i säkerhetsskyddsregleringen för att regeln om revidering ska gälla.
6 c §
Paragrafen, som är ny, innehåller bestämmelser om krav på att verksamhetsutövare har en säkerhetsskyddschef och på säkerhetsskyddschefens placering i organisationen. Paragrafen motsvarar delvis 2 kap.
515
Författningskommentar SOU 2018:82
2 § säkerhetsskyddsförordningen (2018:658). Övervägandena finns i avsnitt 6.6.
Enligt första stycket är huvudregeln att en verksamhetsutövare som bedriver en verksamhet som omfattas av lagen ska ha en säkerhetsskyddschef. Kravet gäller inte om det är uppenbart obehövligt med en säkerhetschef. Så kan exempelvis vara fallet om den säkerhetskänsliga verksamheten har mycket liten omfattning. Det kan också ha betydelse vilka säkerhetskänsliga uppgifter det gäller eller hur säkerhetskänslig verksamhet i övrigt det är fråga om. Bestämmelsen motsvarar delvis 2 kap. 2 § säkerhetsskyddsförordningen.
Säkerhetsskyddschefens uppgifter och ansvar följer av andra
stycket. Det framgår där att det åligger säkerhetsskyddschefen att
leda och samordna säkerhetsskyddsarbetet. Detta förtydligande av säkerhetsskyddschefens roll är en nyhet i förhållande till förordningens bestämmelse och innebär att säkerhetsskyddschefen ska vara aktiv och operativ och inte enbart passivt kontrollerande i efterhand. Det anges vidare att säkerhetsskyddschefen ska kontrollera att verksamheten bedrivs i enlighet med bestämmelserna i lagen och de föreskrifter som meddelats med stöd av lagen. I detta avseende görs ingen ändring i förhållande till förordningsbestämmelsen. En nyhet är dock att ansvaret för säkerhetsskyddschefens uppgifter inte kan delegeras. Detta innebär inget hinder mot att arbetsuppgifter delegeras till andra medarbetare, men detta fråntar inte säkerhetsskyddschefen ansvaret för att leda och samordna arbetet och att kontrollera att säkerhetsskyddsregleringens krav efterlevs. Det yttersta ansvaret för säkerhetsskyddet ligger dock alltid på verksamhetsutövarens ledning. Någon ändring i detta avseende görs alltså inte.
Av tredje stycket följer att säkerhetsskyddschefen ska vara direkt underställd den person som är ansvarig för verksamhetsutövarens verksamhet. Vem som är denna person beror på hur verksamhetsutövaren är organiserad. Om verksamhetsutövaren är en myndighet avses myndighetschefen, t.ex. generaldirektören. I ett aktiebolag är det normalt verkställande direktören, om en sådan finns. I en kommun torde det normalt vara kommundirektören som bör anses som ansvarig för verksamheten, eftersom han eller hon har den ledande ställningen bland de anställda (7 kap. 1 § kommunallagen [2017:725]). Bestämmelsen innebär inte bara ett formellt krav på att säkerhetsskyddschefen har en viss plats i organisationen, utan innebär att han
516
SOU 2018:82 Författningskommentar
eller hon i praktiken ska ges en reell möjlighet att påverka ledningen i frågor som involverar säkerhetsskyddsaspekter.
7 §
I paragrafen finns bestämmelser om bemyndigande. Övervägandena finns i avsnitt 5.4.6.
Första stycket är oförändrat. Andra stycket är nytt. Där föreskrivs att regeringen även får före-
skriva om undantag från skyldigheten att ingå säkerhetsskyddsavtal enligt 6 §. Därutöver får regeringen i enskilda fall besluta om sådana undantag.
2 a kap. Skyldigheter och befogenheter i samband med vissa förfaranden
Kapitlet är nytt och innehåller bestämmelser om särskilda krav och ingripandemöjligheter i samband med bl.a. vissa upphandlingar och överlåtelser av säkerhetskänslig verksamhet.
Proportionalitet
1 §
Paragrafen innehåller en proportionalitetsregel som ska tillämpas i ärenden om förelägganden, förbud och tvångsmedel enligt kapitlets bestämmelser. Övervägandena finns i avsnitt 6.8.8, 6.9.4, 6.12.4, 7.10.5, 7.11.3 och 7.13.
Tillsynsmyndigheten måste inför ett beslut om föreläggande, förbud eller tvångsåtgärder enligt bestämmelserna i kapitlet göra en proportionalitetsbedömning och pröva om skälen för åtgärden väger tillräckligt tungt i förhållande till de skador eller andra olägenheter som beslutet medför. Typiskt sätt handlar det om ekonomiska skador för verksamhetsutövaren och dennes motpart. Men det kan också handla om olägenheter som uppstår i och med att exempelvis en utkontraktering måste avslutas, varvid arbetsuppgiften måste återtas av verksamhetsutövaren själv eller läggas över på någon annan. Den
517
Författningskommentar SOU 2018:82
potentiella skadan för Sveriges säkerhet, eller ett internationellt säkerhetsskyddsåtagande, är ett viktigt kriterium vid proportionalitetsprövningen. Ju mer ingripande åtgärd det handlar om, desto högre krav måste ställas i fråga om skadans allvar. När det är fråga om förbud i efterhand mot en överlåtelse som skett utan föregående samråd eller i strid med ett förbud (jfr 9 § andra stycket) bör det ofta tillmätas särskild betydelse hur lång tid som gått sedan överlåtelsen skedde. Om alla inblandade har inrättat sig efter överlåtelsen efter en längre tid bör detta beaktas vid bedömningen av om det är proportionerligt att i efterhand förbjuda överlåtelsen.
Om rätten har beslutat om t.ex. kvarstad med stöd av 12 § har det betydelse hur länge åtgärden blir bestående. Vid varje omprövning måste rätten således ompröva om det fortfarande är proportionerligt att låta åtgärden bestå.
Upphandling och vissa andra förfaranden
2 §
Paragrafen innehåller bestämmelser om särskild säkerhetsbedömning och lämplighetsprövning vid vissa förfaranden. Paragrafen motsvarar delvis 2 kap. 6 § säkerhetsskyddsförordningen (2018:658). Övervägandena finns i avsnitt 6.7.
Enligt första stycket ställs krav på en offentlig eller privat verksamhetsutövare att vidta vissa åtgärder när man avser att inleda ett förfarande där det krävs ett säkerhetsskyddsavtal enligt 2 kap. 6 §. Till skillnad från 2 kap. 6 § säkerhetsskyddsförordningen, som delvis tjänat som förebild till paragrafen, gäller den för alla slags verksamhetsutövare och inte enbart statliga myndigheter. En annan skillnad är att den inte är begränsad till vissa upphandlingar utan gäller vid alla slags förfaranden som medför ett krav på säkerhetsskyddsavtal. Med uttrycket ”avser att” förtydligas att de åtgärder som en verksamhetsutövare är skyldig att vidta enligt paragrafen ska ske i ett tidigt skede av processen. Det framgår vidare att åtgärderna ska vidtas innan det planerade förfarandet inleds. Detta betyder att förfarandet inte får inledas innan åtgärderna har vidtagits.
Enligt första stycket första punkten ska en verksamhetsutövare som träffas av bestämmelsen göra en särskild säkerhetsbedömning. Bedömningen har två syften. Det ena syftet är att identifiera vilka
518
SOU 2018:82 Författningskommentar
säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den utomstående parten kan få tillgång till i samband med det planerade förfarandet och som kräver säkerhetsskydd. Det andra syftet är att bedömningen ska utgöra ett underlag för en egen prövning av om det planerade förfarandet – t.ex. en planerad utkontraktering – är lämpligt och i så fall vilka krav som bör ställas upp i ett säkerhetsskyddsavtal, i de fall ett sådant krävs (se vidare i författningskommentaren till 2 kap. 6 §).
Den uttryckliga skyldigheten att göra en lämplighetsprövning saknar motsvarighet i 2 kap. 6 § säkerhetsskyddsförordningen och följer av första stycket andra punkten. Prövningen, som ska utmynna i en bedömning av om det planerade förfarandet är lämpligt från säkerhetsskyddssynpunkt, ska göras med utgångspunkt i den särskilda säkerhetsbedömningen och övriga omständigheter. Verksamhetsutövaren måste i sin analys av lämpligheten bl.a. beakta behovet av säkerhetsskydd och om det är möjligt att genom ett väl utformat säkerhetsskyddsavtal uppnå ett tillräckligt säkerhetsskydd. Vidare bör verksamhetsutövaren analysera om tillräckliga säkerhetsskyddskrav är möjliga att ställa enligt regleringarna om offentlig upphandling, i den mån de ska tillämpas. Det kan finnas förfaranden som inte är lämpliga oavsett vilka säkerhetsskyddsåtgärder som vidtas, t.ex. på grund av de involverar uppgifter som är så känsliga att de aldrig bör anförtros utomstående. En viktig aspekt i lämplighetsprövningen kan vara om motparten finns i utlandet och om det finns adekvata och reella möjligheter till säkerhetsprövning av dennes personal och av personalen hos eventuella underleverantörer. En annan aspekt kan vara möjligheten att bedöma om motparten kan ha illojala syften med förfarandet, t.ex. mot bakgrund av ägarförhållandena.
I andra stycket klargörs det att verksamhetsutövaren är skyldig att avstå från att inleda det planerade förfarandet, t.ex. en utkontraktering eller någon annan form av samarbete eller samverkan, om lämplighetsprövningen enligt första stycket leder till bedömningen att det är olämpligt från säkerhetsskyddssynpunkt.
Av tredje stycket framgår det att den särskilda säkerhetsbedömningen och lämplighetsprövningen ska dokumenteras. Dokumentationen ska bevaras, så att det i efterhand kan kontrolleras att verksamhetsutövaren har fullgjort sina åligganden enligt paragrafen.
519
Författningskommentar SOU 2018:82
3 §
Paragrafen motsvarar delvis 2 kap. 6 § säkerhetsskyddsförordningen (2018:658). Den innehåller bestämmelser om en samrådsskyldighet för verksamhetsutövare i vissa fall när de ska inleda ett förfarande som kräver säkerhetsskyddsavtal enligt 2 kap. 6 §. I paragrafen finns också bestämmelser om möjligheter för tillsynsmyndigheten att meddela förelägganden och hindra genomförande av förfaranden i vissa fall. Övervägandena finns i avsnitt 6.8.
Av första stycket framgår det att en verksamhetsutövare i vissa fall ska samråda med tillsynsmyndigheten innan man inleder ett förfarande som kräver säkerhetsskyddsavtal. Avsikten är att verksamhetsutövaren först ska fullgöra de åtaganden som framgår av 2 §, dvs. särskild säkerhetsbedömning och lämplighetsprövning. Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet – t.ex. en utkontraktering – är lämpligt kan det bli aktuellt med en samrådsskyldighet enligt denna paragraf. Till skillnad från 2 kap. 6 § säkerhetsskyddsförordningen, som delvis tjänat som förebild till paragrafen, gäller den för alla slags verksamhetsutövare och inte enbart statliga myndigheter. En annan skillnad är att den inte är begränsad till upphandlingar utan kan bli aktuell vid alla slags förfaranden som medför ett krav på säkerhetsskyddsavtal.
Utöver kravet på säkerhetsskyddsavtal gäller vissa ytterligare villkor för att samrådsskyldigheten ska inträda. Samrådsskyldigheten är alltså begränsad i förhållande till skyldigheterna enligt 2 §.
I första stycket första punkten beskrivs det första av tre fall där samrådsskyldigheten gäller. Där framgår det att skyldigheten inträder om förfarandet innebär att den utomstående parten kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler. Med utomstående part avses detsamma som i 2 kap. 6 § (se författningskommentaren till den paragrafen). Med undantag för de skillnader som följer av att det allmänna tillämpningsområdet är bredare motsvarar bestämmelsen 2 kap. 6 § första stycket 1 säkerhetsskyddsförordningen.
Av andra punkten, som saknar motsvarighet i 2 kap. 6 § säkerhetsskyddsförordningen, framgår det att samrådsskyldigheten också gäller om förfarandet utgör en upplåtelse som kan ge den utomstå-
520
SOU 2018:82 Författningskommentar
ende parten tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet som de säkerhetsskyddsklassificerade uppgifter som avses i första punkten. Med upplåtelse avses t.ex. hyra, arrende och andra typer av nyttjanderätter som inte innebär att äganderätten övergår från verksamhetsutövaren. Det avgörande är att upplåtelsen kan ge någon utomstående part tillgång till den säkerhetskänsliga verksamheten på något sätt. Ett exempel kan vara att någon hyr en lokal i en byggnad där det bedrivs säkerhetskänslig verksamhet. I ett sådant fall kan det finnas skäl att överväga om hyresgästen därmed får tillgång till den säkerhetskänsliga verksamheten. Situationer där den utomstående parten enbart får tillgång till säkerhetsskyddsklassificerade uppgifter och inte till verksamheten i övrigt omfattas inte av andra punkten, utan regleras exklusivt i första punkten.
Det framgår av tredje punkten att det sista fallet där samrådsskyldighet gäller är om förfarandet ger den utomstående parten tillgång till informationssystem utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. Det avgörande för bestämmelsens tillämpning är förhållandet att någon utomstående får åtkomst till informationssystemet utanför verksamhetsutövarens lokaler och att detta leder till att systemet blir sårbart. Till skillnad från vad som gällt enligt 2 kap. 6 § första stycket 2 säkerhetsskyddsförordningen behöver sårbarheten inte handla om obehörig åtkomst utan kan också handla om att behöriga personer uppsåtligen eller av oaktsamhet vidtar åtgärder, eller underlåter att vidta åtgärder, och att detta leder till allvarlig skada för Sveriges säkerhet. Skadan behöver inte bestå i att ett en säkerhetsskyddsklassificerad uppgift obehörigen röjs, utan kan lika gärna handla om att en uppgift eller ett viktigt system t.ex. görs otillgängligt eller skadas.
Samrådet ska ske med den myndighet som utövar tillsyn över den verksamhetsutövare som är samrådsskyldig. Om samrådsskyldighet föreligger enligt första stycket ska verksamhetsutövaren ta initiativ till samråd efter att den särskilda säkerhetsbedömningen och lämplighetsprövningen gjorts men innan det planerade förfarandet inleds.
Tillsynsmyndigheten bedömer om det behövs ytterligare åtgärder för att det planerade förfarandet ska vara lämpligt från säkerhetsskyddssynpunkt. Det kan t.ex. vara nödvändigt att förbättra krav-
521
Författningskommentar SOU 2018:82
ställningen i säkerhetsskyddsavtalet. Det är dock fortfarande verksamhetsutövaren som ansvarar för hur säkerhetsskyddet ska utformas i detalj.
Utgångspunkten är att samrådet ska ha avslutats innan det planerade förfarandet inleds. Det innebär bl.a. att en offentlig upphandling som utgångspunkt inte får påbörjas innan samrådet har genomförts och under förutsättning att tillsynsmyndigheten inte har fattat beslut om förbud. Om tillsynsmyndigheten bedömer det som nödvändigt bör den dock kunna ge klartecken till att en upphandlingsprocess påbörjas och att samrådet ska pågå fortlöpande under upphandlingsprocessen. När tillsynsmyndigheten bedömer att syftet med samrådet har uppfyllts och att verksamhetsutövaren kan gå vidare med det planerade förfarandet bör tillsynsmyndigheten fatta ett beslut om att avsluta samrådet.
I andra stycket finns bestämmelser om tillsynsmyndigheternas befogenheter i samband med samrådet. Dessa motsvarar till stor del 2 kap. 6 § tredje stycket säkerhetsskyddsförordningen. Det framgår till att börja med att tillsynsmyndigheten får förelägga verksamhetsutövaren att vidta åtgärder enligt denna lag och de föreskrifter som har meddelats i anslutning till lagen. Ett föreläggande kan innehålla anvisningar om vad verksamhetsutövaren behöver förbättra i fråga om säkerhetsskyddsåtgärder. Föreläggandet kan också innebära att verksamhetsutövaren vid en senare tidpunkt under samrådet ska återrapportera till tillsynsmyndigheten hur olika åtgärder har utförts.
Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att verksamhetsutövaren inte får genomföra det planerade förfarandet. Beslut om föreläggande och förbud får bara meddelas om det är proportionerligt. Innebörden av kraven på proportionalitet preciseras i 1 §. Av kravet på proportionalitet följer att möjligheten att förbjuda verksamhetsutövaren att genomföra ett visst förfarande är en sista utväg och ska användas restriktivt. Så långt det är möjligt bör tillsynsmyndigheten alltså sträva efter att eventuella problem ska hanteras genom samrådet och förelägganden. Det kan dock finnas fall där en verksamhetsutövare, trots förelägganden, inte vidtar de åtgärder som behövs för att förfarandet ska vara lämpligt från säkerhetsskyddssynpunkt. Det kan också finnas förfaranden som är olämpliga oavsett vilka säkerhetsskyddsåtgärder som
522
SOU 2018:82 Författningskommentar
vidtas. Ett exempel kan vara att det inte är möjligt att genomföra säkerhetsprövning av personalen hos den tänkta motparten eller om det i verksamheten förekommer säkerhetsskyddsklassificerade uppgifter som är så känsliga att det inte under några förhållanden är lämpligt att de förvaras utanför verksamhetsutövarens lokaler. Det kan vidare vara så att den tänkta motparten inte uppfyller de krav på tillförlitlighet som måste ställas när det är fråga om säkerhetskänslig verksamhet, exempelvis på grund av ägarförhållandena.
I likhet med verksamhetsutövaren måste tillsynsmyndigheten vid sin bedömning av vilka krav som bör ställas och om förfarandet är lämpligt analysera om tillräckliga säkerhetsskyddskrav är möjliga att ställa enligt regleringarna om offentlig upphandling, i den mån de ska tillämpas.
I samband med samrådet får tillsynsmyndigheten ansöka om tvångsåtgärder enligt 12 §, se vidare författningskommentaren till den paragrafen.
Samrådsförfarandet är ett förvaltningsärende. Bestämmelserna i förvaltningslagen (2017:900) ska därför tillämpas i ärenden om samråd, föreläggande och förbud, bortsett från vissa regler om åtgärder vid försenad handläggning som behandlas i 15 §. Detta gäller även vid Säkerhetspolisens handläggning.
Bestämmelser om överklagande av tillsynsmyndighetens beslut enligt paragrafen finns i 5 kap. 6 §.
4 §
Paragrafen innehåller bestämmelser om samråd på tillsynsmyndighetens initiativ. Övervägandena finns i avsnitt 6.8.11.
Utgångspunkten är att verksamhetsutövaren ska ta initiativ till samrådet när det föreligger en samrådsskyldighet enligt 3 §. Det kan dock inträffa att tillsynsmyndigheten får kännedom om att en verksamhetsutövare planerar att inleda ett samrådspliktigt förfarande och att något samråd trots det inte har initierats. I en sådan situation kan tillsynsmyndigheten med stöd av denna paragraf själv initiera samrådet. Det som föreskrivs i 3 § andra stycket om förelägganden, förbud och tvångsåtgärder gäller även i fråga om ett sådant samråd som tillsynsmyndigheten har tagit initiativ till.
523
Författningskommentar SOU 2018:82
5 §
Paragrafen innehåller bestämmelser om förelägganden som kan riktas mot en verksamhetsutövare eller dennes motpart under ett pågående förfarande som kräver säkerhetsskyddsavtal. Övervägandena finns i avsnitt 6.9.
Enligt första stycket får tillsynsmyndigheten utfärda förelägganden mot en verksamhetsutövare och den utomstående parten i förfarandet om ett pågående förfarande som omfattas av ett krav på säkerhetsskyddsavtal är olämpligt från säkerhetsskyddssynpunkt. Det kan t.ex. handla om en pågående utkontraktering eller ett annat pågående samarbete där ändrade förhållanden medfört att förfarandet helt eller delvis blivit olämpligt från säkerhetsskyddssynpunkt. Föreläggandet ska gå ut på att verksamhetsutövaren eller motparten åläggs att vidta de åtgärder som är nödvändiga för att förhindra skada för Sveriges säkerhet. Det ställs inget uttryckligt krav i fråga om den potentiella skadans allvarlighet. Emellertid följer det av 2 kap. 6 § att det inte råder något krav på säkerhetsskyddsavtal om den potentiella skadan är endast ringa, varför förelägganden enligt denna paragraf inte kan komma i fråga i sådana fall. Bestämmelsen innehåller inte några särskilda begränsningar om vad ett föreläggande ska avse, utan endast att syftet ska vara att förhindra skada för Sveriges säkerhet. Det kan alltså handla om allt från mindre ingripande åtgärder, såsom t.ex. att återta en mindre del av ett uppdrag från en leverantör till att avsluta ett visst samarbete med omedelbar verkan.
Möjligheten att meddela förelägganden och valet av förelagd åtgärd begränsas av ett krav på proportionalitet som preciseras i 1 §. Av bestämmelsen framgår att ett föreläggande bara får beslutas om skälen för åtgärden uppväger den skada eller annan olägenhet som åtgärden medför för allmänna eller enskilda intressen. Se vidare kommentaren till den angivna bestämmelsen.
Av andra stycket följer att föreläggandet får förenas med vite. I ett sådant fall är lagen (1985:206) om viten tillämplig.
Enligt tredje stycket kan tillsynsmyndigheten även ansöka om tvångsåtgärder enligt 12 §.
524
SOU 2018:82 Författningskommentar
Överlåtelse av säkerhetskänslig verksamhet och viss egendom
6 §
Paragrafen innehåller bestämmelser om särskild säkerhetsbedömning och lämplighetsprövning inför vissa överlåtelser. Övervägandena finns i avsnitt 7.9.
I första stycket första punkten framgår att bestämmelserna i 2 § om särskild säkerhetsbedömning och lämplighetsprövning ska tillämpas av den som bedriver säkerhetskänslig verksamhet och som avser att överlåta hela eller någon del av den säkerhetskänsliga verksamheten. Bestämmelsen gäller t.ex. om verksamhetsutövaren vill överlåta hela inkråmet i ett bolag till någon utomstående aktör. En annan typsituation kan vara att verksamhetsutövaren avser att bilda ett helägt dotterbolag och att överlåta hela eller en viss del av den säkerhetskänsliga verksamheten till dotterbolaget. Bestämmelsen är vidare tillämplig om en myndighet vill överlåta en säkerhetskänslig verksamhet till någon enskild aktör, dvs. vid privatisering av en säkerhetskänslig verksamhet. Enbart en överlåtelse av vissa fysiska tillgångar, som inte innebär en möjlighet att driva den säkerhetskänsliga verksamheten, bör inte ses som en verksamhetsöverlåtelse. En sådan överlåtelse kan i stället omfattas av andra punkten.
I andra punkten anges det att kraven på särskild säkerhetsbedömning och lämplighetsprövning också gäller inför en överlåtelse av någon egendom i den säkerhetskänsliga verksamheten som har betydelse för Sveriges säkerhet eller för ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Med egendom avses både fast och lös egendom, inklusive immateriella tillgångar. Det kan handla om bl.a. en fastighet, inventarier eller en fysisk produkt, men även om t.ex. ritningar på en uppfinning som tagits fram inom ramen för verksamheten eller som ägs av denna. Ett exempel kan vara en viss produkt som används inom någon verksamhet av stor betydelse för Sveriges säkerhet, och där Sveriges säkerhet kan skadas om aktörer med antagonistiska syften får tillgång till produkten eller närmare kunskaper om den. Det åligger verksamhetsutövaren att med utgångspunkt i sin säkerhetsskyddsanalys pröva om egendomen har betydelse för Sveriges säkerhet eller inte. Bedömningen ställer höga krav på verksamhetsutövarens kunskap om sina skyddsvärden.
525
Författningskommentar SOU 2018:82
I fråga om den närmare innebörden av kravet på särskild säkerhetsbedömning hänvisas till författningskommentaren till 2 §. Lämplighetsprövningen innebär att verksamhetsutövaren efter bästa förmåga och med den kunskap som verksamhetsutövaren har ska bedöma om överlåtelsen är lämplig från säkerhetsskyddssynpunkt. Verksamhetsutövaren ska inom ramen för prövningen både fråga sig om det över huvud taget är lämpligt att överlåta den aktuella verksamheten eller egendomen och om det är lämpligt att överlåtelsen sker till just den aktuella förvärvaren. Det anförda gäller även vid överlåtelse av sådan egendom som inte utgör själva verksamheten men som tillhör eller ingår i verksamheten och har betydelse för Sveriges säkerhet. En sådan överlåtelse kan vara olämplig av flera skäl. Ett exempel kan vara att överlåtelsen kan leda till att egendomen inte längre kan användas på det sätt som behövs för att upprätthålla skyddet för Sveriges säkerhet. Ett annat exempel kan vara att den som förvärvar egendomen genom förvärvet får viktig kunskap om säkerhetskänsliga verksamheter och att denna kunskap kan användas vid t.ex. sabotage, terroristbrott eller andra antagonistiska handlingar som kan hota verksamheten.
Av andra stycket framgår att skyldigheterna enligt första stycket ska fullgöras innan ett förfarande för överlåtelse inleds. Om lämplighetsprövningen leder till bedömningen att den planerade överlåtelsen är olämplig från säkerhetsskyddssynpunkt, får den inte inledas.
7 §
Paragrafen innehåller bestämmelser om samrådsskyldighet, förelägganden och förbud i samband med vissa överlåtelser. Övervägandena finns i avsnitt 7.10.
Enligt första stycket är verksamhetsutövare skyldiga att samråda med tillsynsmyndigheten inför en sådan överlåtelse som avses i 6 §. Betydelsen av den egna lämplighetsprövningen markeras genom att det särskilt anges att samrådet ska ske först efter att denna lett till bedömningen att överlåtelsen får ske. Samrådet ska först och främst avse frågan om överlåtelsen är lämplig från säkerhetsskyddssynpunkt. Det handlar om ett dialogförfarande där man bl.a. kan diskutera om överlåtelsen bör begränsas på något sätt för att inte vara olämplig.
526
SOU 2018:82 Författningskommentar
Enligt andra stycket får tillsynsmyndigheten förelägga överlåtaren att vidta åtgärder enligt denna lag och de föreskrifter som har meddelats i anslutning till lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att överlåtelsen är olämplig från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att överlåtelsen inte får genomföras. Samrådet får även avslutas med föreläggande som innebär att överlåtelsen endast får genomföras på vissa angivna villkor, vid påföljd att överlåtelsen annars är ogiltig. Vidare kan tillsynsmyndigheten ansöka om tvångsåtgärder enligt 12 § om det finns förutsättningar för det. Alla beslut måste vara förenliga med proportionalitetsprincipen i 1 §. Ju mer ingripande åtgärd, desto mer angelägen måste åtgärden vara från säkerhetsskyddssynpunkt. Tillsynsmyndigheten måste alltid överväga om det önskade resultatet kan uppnås på något annat och mindre ingripande sätt.
Det följer av tredje stycket att reglerna i första och andra styckena gäller även den som avser att överlåta aktier eller andelar i säkerhetskänslig verksamhet. En sådan aktör behöver inte vara verksamhetsutövare enligt säkerhetsskyddslagen, och träffas normalt inte av dess bestämmelser i övrigt. Denna bestämmelse innebär att kraven på samråd och tillsynsmyndighetens befogenheter enligt andra stycket gäller även den som överlåter aktier eller andelar i en säkerhetskänslig verksamhet. Bestämmelsen gäller dock inte vid överlåtelse av aktier i publika aktiebolag.
8 §
Paragrafen innehåller bestämmelser om samråd på tillsynsmyndighetens initiativ. Övervägandena finns i avsnitt 7.10.8.
Utgångspunkten är att verksamhetsutövaren ska ta initiativ till samrådet när det föreligger en samrådsskyldighet enligt 7 § första eller tredje stycket. Det kan dock inträffa att tillsynsmyndigheten får kännedom om att någon planerar att inleda en samrådspliktig överlåtelse och att något samråd trots det inte har initierats. I en sådan situation kan tillsynsmyndigheten med stöd av denna paragraf själv initiera samrådet. Det som föreskrivs i 7 § andra stycket om förelägganden, förbud och tvångsåtgärder gäller även i fråga om ett sådant samråd som tillsynsmyndigheten har tagit initiativ till.
527
Författningskommentar SOU 2018:82
9 §
Paragrafen innehåller bestämmelser om ogiltighet av och förbud mot överlåtelser i vissa fall. Övervägandena finns i avsnitt 7.11.
Av första stycket följer att en överlåtelse är ogiltig om den har genomförts i strid med ett förbud enligt 7 § eller ett föreläggande enligt samma paragraf, om föreläggandet har meddelats vid påföljd av ogiltighet. Ogiltigheten inträder automatiskt och oberoende av något agerande från tillsynsmyndighetens eller avtalsparternas sida.
Andra stycket innehåller en möjlighet för tillsynsmyndigheten att
i vissa fall förbjuda en överlåtelse i efterhand. Denna möjlighet gäller om en överlåtelse har gjorts utan att det har skett något samråd, trots att samrådsskyldighet förelegat enligt 7 §. Vidare krävs det att förutsättningarna för ett förbud enligt den paragrafen är uppfyllda. Detta innebär att överlåtelsen måste anses olämplig från säkerhetsskyddssynpunkt och att det är proportionerligt enligt 1 § att ingripa i efterhand. Om förvärvaren bedriver säkerhetskänslig verksamhet och man kan komma till rätta med problemen genom att ett åtgärdsföreläggande riktas mot denne med stöd av 4 b kap. 1 § bör något förbud inte meddelas. Ju längre tid som gått och ju mer parterna har inrättat sig efter överlåtelsen, desto starkare måste skälen för ett ingripande vara för att detta ska vara proportionerligt. Någon absolut tidsgräns gäller dock inte. Om tillsynsmyndigheten meddelar ett förbud i efterhand är överlåtelsen ogiltig. Även i detta fall inträder ogiltigheten automatiskt.
10 §
Paragrafen innehåller bestämmelser om vitesförelägganden i samband med en ogiltig överlåtelse. Övervägandena finns i avsnitt 7.11.2.
Om en överlåtelse är ogiltig enligt 9 § får tillsynsmyndigheten besluta om de förelägganden som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant föreläggande kan riktas mot såväl överlåtaren som förvärvaren och kan förenas med vite. I ett sådant fall är lagen (1985:206) om viten tillämplig. Proportionalitetsregeln i 1 § ska tillämpas även i fråga om förelägganden enligt denna paragraf. Det innebär bl.a. att ju mer ingripande åtgärd, desto mer angelägen
528
SOU 2018:82 Författningskommentar
måste åtgärden vara från säkerhetsskyddssynpunkt. Tillsynsmyndigheten måste alltid överväga om det önskade resultatet kan uppnås på något annat och mindre ingripande sätt.
11 §
Paragrafen motsvarar i huvudsak tidigare 2 kap. 9 § andra stycket säkerhetsskyddsförordningen (2018:658). Bestämmelsen har gjorts tillämplig inte bara på enskilda förvärvare av säkerhetskänslig verksamhet utan också på offentliga aktörer som förvärvar sådan verksamhet. Paragrafen innebär en skyldighet för överlåtaren att upplysa förvärvaren om att denna lag gäller för verksamheten och att samtidigt påminna förvärvaren om de skyldigheter som följer av 2 kap. 1 §. Övervägandena finns i avsnitt 7.15.
Tvångsåtgärder
12 §
Paragrafen innehåller bestämmelser om tvångsåtgärder i samband med förbud eller föreläggande enligt detta kapitel. Övervägandena finns i avsnitt 6.12 och 7.13.
Genom införandet av 12–14 §§ skapas en möjlighet att använda de civilprocessuella tvångsåtgärderna i 15 kap.1–3 §§rättegångsbalken, om det behövs för att ändamålet med ett förbud eller föreläggande enligt detta kapitel inte ska motverkas. Hänvisningen till de aktuella paragraferna syftar på själva tvångsåtgärden och inte på de förutsättningar för deras tillämpning som anges i respektive paragraf. Domstolen ska alltså enbart ta ställning till om åtgärden behövs för att inte ändamålet med ett meddelat förbud eller föreläggande ska motverkas. Den ska vidare beakta proportionalitetsregeln i 1 §.
Beslutet fattas av Stockholms tingsrätt på ansökan av tillsynsmyndigheten. Det krävs inte att föreläggandet eller förbudet har fått laga kraft.
529
Författningskommentar SOU 2018:82
13 §
Paragrafen innehåller regler om handläggningen i rätten av en fråga om tvångsåtgärder enligt 12 §. Övervägandena finns i avsnitt 6.12.4 och 7.13.
Av första stycket följer att rätten ska tillämpa samma regler som om en fråga om en tvångsåtgärd enligt de aktuella bestämmelserna i 15 kap. rättegångsbalken uppkommer i en pågående rättegång. Detta innebär bl.a. att rättegångsbalkens bestämmelser om överklagande i sådana fall ska tillämpas.
Andra stycket innehåller en viktig rättssäkerhetsgaranti, nämligen
ett krav på att ett yrkande om en tvångsåtgärd inte får bifallas utan att motparten – dvs. den som avses med den önskade tvångsåtgärden – har fått tillfälle att yttra sig. Detta är huvudregeln, som man dock får göra undantag från om det är fara i dröjsmål. I så fall får rätten nämligen bevilja åtgärden interimistiskt, dvs. till dess annat beslutas.
14 §
Paragrafen innehåller bestämmelser om omprövning och upphörande av tvångsmedel enligt 12 §. Övervägandena finns i avsnitt 6.12.4 och 7.13.
Bestämmelserna i paragrafen syftar till att skapa garantier för att en tvångsåtgärd som meddelats med stöd av 12 § inte blir bestående längre än nödvändigt.
Av första stycket följer att rätten är skyldig att omedelbart upphäva en tvångsåtgärd enligt 12 § om det inte längre finns skäl för åtgärden. Tillsynsmyndigheten ska genast meddela rätten när syftet med en tvångsåtgärd har uppnåtts, eller det av någon annan anledning inte längre finns skäl för åtgärden.
Enligt andra stycket är rätten där frågan är anhängig skyldig att ompröva åtgärden med fyra veckors mellanrum. Bestämmelsen befriar inte rätten från sin skyldighet enligt första stycket att upphäva åtgärden tidigare om det framkommer att det saknas skäl för åtgärden.
Det följer av tredje stycket att rätten inte får upphäva en tvångsåtgärd utan att ha hört tillsynsmyndigheten.
530
SOU 2018:82 Författningskommentar
Tillsynsmyndighetens handläggning av samrådsärenden
15 §
Paragrafen innehåller en bestämmelse om tillsynsmyndighetens handläggning av ärenden om samråd, föreläggande och förbud. Övervägandena finns i avsnitt 6.8.10, 6.9.5, 7.10.7 och 7.11. 2.
Av bestämmelsen följer att tillsynsmyndigheten vid sin handläggning av ärenden om samråd, föreläggande och förbud enligt detta kapitel inte ska tillämpa 12 § förvaltningslagen (2017:900), som innebär en möjlighet för en enskild part att begära att myndigheten ska avgöra ett ärende som den handlägger i första instans. I övrigt gäller förvaltningslagens bestämmelser för handläggningen.
Bemyndigande
16 §
Paragrafen innehåller ett bemyndigande för regeringen eller den myndighet som regeringen bestämmer att meddela ytterligare föreskrifter handläggningen av ärenden om samråd, föreläggande och förbud enligt detta kapitel. Övervägandena finns i avsnitt 6.14 och 7.16.
4 a kap . Tillsyn
Kapitlet är nytt och innehåller bestämmelser om tillsyn avseende säkerhetsskyddet.
Tillsynsmyndighetens uppdrag
1 §
Paragrafen innehåller bestämmelser om vem som ska utöva tillsyn och vad tillsynen avser. Övervägandena finns i avsnitt 8.7 och 8.8.
Av första och andra styckena följer att regeringen bestämmer vilka myndigheter som ska utöva tillsyn enligt denna lag och vilka aktörer tillsynen kan avse. Bestämmelser om fördelning av tillsynsansvaret meddelas i säkerhetsskyddsförordningen (2018:658). Av bestämmel-
531
Författningskommentar SOU 2018:82
serna framgår att tillsyn ska utövas över alla som bedriver säkerhetskänslig verksamhet. Det framgår vidare att den myndighet som regeringen bestämmer även får utöva tillsyn över aktörer som har kopplats in i den säkerhetskänsliga verksamheten genom ett säkerhetsskyddsavtal och utomstående verksamhetsutövare som aktören har anlitat inom ramen för säkerhetsskyddsavtalet.
I tredje stycket klargörs det att tillsynsmyndighetens uppgift är att utöva tillsyn över att lagen och de föreskrifter som meddelats med stöd av den följs.
Tillsynsmyndighetens undersökningsbefogenheter
2 §
I paragrafen, som är ny, behandlas den skyldighet som verksamhetsutövare har att vid tillsyn tillhandahålla tillsynsmyndigheten information. Övervägandena finns i avsnitt 8.10.1 och 8.10.3.
Verksamhetsutövarens skyldighet gäller sådan information som behövs för tillsynen. Det kan t.ex. vara fråga om säkerhetsskyddsanalyser, särskilda säkerhetsbedömningar och lämplighetsprövningar, ingångna säkerhetsskyddsavtal, åtgärdsplaner och styrande dokument. Det kan också handla om information som behövs för en bedömning av säkerheten i nätverk och informationssystem, inbegripet dokumenterade säkerhetsprinciper, som används i den säkerhetskänsliga verksamheten.
3 §
Paragrafen, som är ny, reglerar tillsynsmyndighetens rätt att få tillträde till områden, lokaler och andra utrymmen i den utsträckning det behövs för att kunna utöva tillsyn. Övervägandena finns i avsnitt 8.10.1 och 8.10.2.
För att tillträdesrätt ska gälla krävs det att utrymmet används i verksamhet som omfattas av tillsyn enligt 1 §. Tillträdesrätten omfattar inte bostäder. Rätten motsvaras av en skyldighet för den som står under tillsyn att tillhandahålla det begärda tillträdet. Det intrång som tillträdet innebär måste stå i proportion till behovet av tillsynsåtgärden. Tillträdesrätten ger inte tillsynsmyndigheten rätt att bereda
532
SOU 2018:82 Författningskommentar
sig tillträde med tvång. Om den som står under tillsyn inte samarbetar kan dock tillsynsmyndigheten förelägga denne att ge tillträde vid äventyr av vite och i sista hand begära handräckning av Kronofogdemyndigheten, se 4 och 5 §§.
4 §
Paragrafen, som är ny, ger tillsynsmyndigheten en möjlighet att förelägga tillsynsobjektet att tillhandahålla information och ge tillträde enligt bestämmelserna i 2 och 3 §§. Övervägandena finns i avsnitt 8.10.1 och 8.10.4.
I första stycket regleras vilka förelägganden som tillsynsmyndigheten får meddela i syfte att kunna utföra tillsyn. Som utgångspunkt ska dock tillsynsmyndigheten i första hand försöka få till stånd frivillig rättelse. Om det inte lyckas får tillsynsmyndigheten förelägga den som står under tillsyn att tillhandahålla information och ge tillträde enligt 2 och 3 §§.
I andra stycket framgår att ett beslut om föreläggande får förenas med vite. I ett sådant fall är lagen (1985:206) om viten tillämplig.
5 §
Paragrafen, som är ny, reglerar tillsynsmyndighetens möjlighet att begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder. Övervägandena finns i avsnitt 8.10.1 och 8.10.4.
Av paragrafen följer att tillsynsmyndigheten får begära handräckning av Kronofogdemyndigheten för att genomföra de åtgärder som avses i 2 och 3 §§. Vid sådan handräckning gäller bestämmelserna i utsökningsbalken om verkställighet av förpliktelser som inte avser betalningsskyldighet, avhysning eller avlägsnande.
533
Författningskommentar SOU 2018:82
4 b kap. Ingripande och sanktioner
Kapitlet är nytt och innehåller bestämmelser om åtgärdsföreläggande och sanktioner.
Åtgärdsförelägganden
1 §
Paragrafen innehåller bestämmelser om åtgärdsförelägganden. Övervägandena finns i avsnitt 8.11.
Enligt första stycket får tillsynsmyndigheten utfärda de förelägganden som behövs för att de som omfattas av tillsyn enligt lagen ska fullgöra skyldigheter enligt lagen eller föreskrifter som har meddelats i anslutning till den. Det kan bl.a. handla om skyldigheten att göra säkerhetsskyddsanalys, säkerhetsskyddsklassificering av uppgifter, att vidta tillräckliga säkerhetsskyddsåtgärder eller att göra sådan rapportering som följer av lagen och av föreskrifter som har meddelats i anslutning till den.
Ett föreläggande kan inte bara riktas mot den som är verksamhetsutövare utan också mot andra som omfattas av tillsynen (jfr 4 a kap. 1 § andra stycket).
Ett föreläggande får enligt andra stycket förenas med vite. När vite föreläggs är lagen (1985:206) om viten tillämplig.
Sanktionsavgift
2 §
I paragrafen finns bestämmelser om vilka överträdelser som kan leda till sanktionsavgift. Övervägandena finns i avsnit t 9.7–9.10.
De överträdelser som kan föranleda beslut om sanktionsavgift mot en verksamhetsutövare räknas upp i tio punkter i första stycket. Beslutet om att avgift ska tas ut fattas av tillsynsmyndigheten. Avgiftsskyldigheten bygger på strikt ansvar. Det krävs alltså varken uppsåt eller oaktsamhet för att en sanktionsavgift ska kunna tas ut. Det är tillräckligt att en överträdelse har ägt rum. Även statliga myndigheter, kommuner och landsting kan påföras sanktionsavgift. Det
534
SOU 2018:82 Författningskommentar
är obligatoriskt för tillsynsmyndigheten att besluta om sanktionsavgift när en överträdelse har konstaterats. Dock finns det enligt 5 § möjligheter att i vissa fall jämka eller efterge avgiften.
I andra stycket finns bestämmelser om att sanktionsavgift också i vissa fall kan tas ut av den som inte är verksamhetsutövare och som åsidosätter skyldigheter i samband med överlåtelse av aktier eller andelar i en säkerhetskänslig verksamhet.
3 §
I paragrafen fastställs minimi- och maxbelopp för sanktionsavgift. Övervägandena finns i avsnitt 9.11. Hur avgiften ska bestämmas i det enskilda fallet regleras i 4 §.
4 §
I paragrafen regleras vilka omständigheter som särskilt ska beaktas när tillsynsmyndigheten bestämmer sanktionsavgiftens storlek. Övervägandena finns i avsnitt 9.12.
Paragrafens uppräkning är inte uttömmande. Utöver de i paragrafen angivna omständigheterna kan hänsyn behöva tas till bl.a. hur länge överträdelsen har pågått. I mildrande riktning kan det vara aktuellt att beakta om den avgiftsskyldige har samarbetat med tillsynsmyndigheten för att komma till rätta med överträdelsen.
5 §
Paragrafen innehåller en bestämmelse om eftergivande eller jämkning av sanktionsavgiften. Övervägandena finns i avsnitt 9.12.
Av paragrafen följer att tillsynsmyndigheten kan sätta ned sanktionsavgiften, helt eller delvis, om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut sanktionsavgift. Det kan exempelvis vara oskäligt att ta ut en avgift om den avgiftsskyldige redan har drabbats av en sanktionsavgift enligt något annat regelverk för i princip samma brist. Att regelverket har överträtts på ett sådant sätt att det varit närmast omöjligt för den avgiftsskyldige att upptäcka överträdelsen eller
535
Författningskommentar SOU 2018:82
överträdelsen på annat sätt varit utom den avgiftsskyldiges kontroll, kan i undantagsfall göra överträdelsen ursäktlig och därför utgöra grund för jämkning. Det kan också finnas grund för jämkning när det rör sig om en bedömningsfråga – t.ex. vilka säkerhetsskyddsåtgärder som är nödvändiga i en viss verksamhet – och verksamhetsutövaren trots en gedigen analys gjort en felaktig bedömning. Det är däremot inte oskäligt att ta ut en sanktionsavgift när överträdelsen exempelvis berott på att en verksamhetsutövare inte känt till reglerna eller överträdelsen berott på dålig ekonomi, tidsbrist eller bristande rutiner.
6 §
Paragrafen syftar till att förhindra att samma överträdelse blir föremål för dubbla prövningar och sanktioner. Övervägandena finns i avsnitt 9.13.
Om ett vitesföreläggande har meddelats och en domstolsprocess inletts om utdömande av vitet är tillsynsmyndigheten enligt bestämmelsen förhindrad att besluta om sanktionsavgift för samma överträdelse.
7 §
I paragrafen finns bl.a. bestämmelser om den bortre tidsgränsen för när en sanktionsavgift får beslutas. Övervägandena finns i avsnitt 9.14.
Första stycket innebär att om kommunikation enligt förvaltnings-
lagen (2017:900) med den som avgiften ska tas ut av inte har skett inom två år från överträdelsen, får en sanktionsavgift inte tas ut. Bevisbördan för att kommunikation har skett ligger på tillsynsmyndigheten. Tidsfristen räknas från när överträdelsen ägde rum.
Av andra stycket framgår att ett beslut om sanktionsavgift ska delges den avgiftsskyldige. Det innebär att myndigheten ska använda sig av de metoder för delgivning som regleras i delgivningslagen (2010:1932) för att säkerställa att den som beslutet gäller får del av underrättelsen.
536
SOU 2018:82 Författningskommentar
8 och 9 §§
Paragraferna innehåller bestämmelser om betalning och indrivning av sanktionsavgifter. Övervägandena finns i avsnitt 9.14.
5 kap. Övriga bestämmelser
Förordnande om att ett beslut ska gälla omedelbart
4 §
Paragrafen har hittills innehållit bestämmelser om tillsyn. Dessa har flyttats till det nya 4 a kap. I paragrafen införs i stället en bestämmelse som innebär att tillsynsmyndigheten får bestämma att ett beslut om föreläggande enligt denna lag ska gälla omedelbart. Bestämmelsen omfattar såväl förelägganden i samband med tillsyn enligt 4 a kap., åtgärdsförelägganden enligt 4 b kap. och förelägganden som meddelas enligt bestämmelser i 2 a kap. Övervägandena finns i avsnitt 6.8.9, 6.9.5, 7.10.7, 7.11.2 och 8.12.
Överklagande
6 §
Paragrafen, som är ny, innehåller bestämmelser om överklagande av vissa beslut enligt 2 a kap., 4 a kap. och 4 b kap. Övervägandena finns i avsnitt 6.10, 7.12, 8.13 och 9.15.
Av första och andra styckena framgår vilka beslut som får överklagas till Förvaltningsrätten i Stockholm respektive regeringen.
Tredje stycket klargör att tillsynsmyndigheten är motpart när be-
slutet överklagas till domstol.
Enligt fjärde stycket får övriga beslut enligt lagen inte överklagas. Bestämmelsen träffar inte tvångsåtgärder enligt 2 a kap. 12 §, eftersom rättegångsbalkens bestämmelser gäller i fråga om handläggningen av dessa, se 2 a kap. 13 § första stycket.
Klagoberättigade är var och en som beslutet har gått emot. Om verksamhetsutövaren är en statlig myndighet har myndigheten klagorätt i egenskap av part i förvaltningsärendet.
537
Författningskommentar SOU 2018:82
Ikraftträdande- och övergångsbestämmelser
Ändringarna träder enligt bestämmelsen i punkt 1 i kraft den 1 januari 2021.
Av punkt 2 följer att ärenden om samråd som har inletts hos Säkerhetspolisen eller Försvarsmakten före ikraftträdandet handläggs enligt äldre föreskrifter, dvs. 16 a § säkerhetsskyddsförordningen (1996:633) eller 2 kap. 6 § säkerhetsskyddsförordningen (2018:658).
Av punkt 3 följer att sanktionsavgift bara får beslutas för överträdelser som har ägt rum eller fortfarande pågår efter ikraftträdandet.
538
Bilaga 1
Kommittédirektiv 2017:32
Utkontraktering av säkerhetskänslig verksamhet, sanktioner och tillsyn – tre frågor om säkerhetsskydd
Beslut vid regeringssammanträde den 23 mars 2017
Sammanfattning
En särskild utredare ska överväga vissa frågor i säkerhetsskyddslagstiftningen. Förslagen ska komplettera de förslag som lämnats i betänkandet En ny säkerhetsskyddslag (SOU 2015:25). Syftet är att i linje med slutsatserna i den nationella säkerhetsstrategin stärka förmågan att effektivt och samordnat förebygga och möta omedelbara hot mot och utmaningar för Sveriges säkerhet.
Utredaren ska bl.a.
• kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet, och föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning,
• föreslå ett system med sanktioner i säkerhetsskyddslagstiftningen,
• föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagstiftningen ska vara utformad, och
• lämna nödvändiga författningsförslag.
Det ingår inte i uppdraget att överväga ändringar i grundlag. Uppdraget ska redovisas senast den 1 maj 2018.
539
Bilaga 1 SOU 2018:82
Säkerhetsskyddslagstiftningen
Säkerhetsskyddslagen (1996:627) och säkerhetsskyddsförordningen (1996:633) innehåller bestämmelser om skydd av säkerhetskänslig verksamhet. Med sådan avses enligt 4 § säkerhetsskyddsförordningen verksamhet av betydelse för rikets säkerhet. Begreppet rikets säkerhet är inte definierat i lag men regeringen har i förarbetena till gällande säkerhetsskyddslag förklarat att begreppet omfattar såväl den yttre säkerheten till skydd för Sveriges försvarsförmåga, politiska oberoende och territoriella suveränitet som den inre säkerheten till skydd för Sveriges demokratiska statsskick (se prop. 1995/96:129 s. 22 f.). I det sammanhanget anförde regeringen att skyddet för den yttre säkerheten i första hand tar sikte på totalförsvaret, dvs. den verksamhet som behövs för att förbereda Sverige för krig. Ett hot mot rikets yttre säkerhet anses dock kunna förekomma, även om det inte hotar totalförsvaret. Skyddet av rikets yttre säkerhet anses omfatta uppgifter och förhållanden av rent militär betydelse eller av betydelse för totalförsvaret i övrigt och andra uppgifter som har betydelse för rikets nationella oberoende. Också rikets inre säkerhet kan vara hotad utan att totalförsvaret berörs. Angrepp på det demokratiska statsskicket kan förekomma från grupperingar utan förbindelse med främmande makt. Det kan också vara fråga om försök att ta över den politiska makten genom våld eller att använda våld, hot eller tvång mot statsledningen i syfte att påverka politikens utformning. Försök att systematiskt hindra medborgarna från att utnyttja sina demokratiska fri- och rättigheter räknas också till hoten mot rikets inre säkerhet.
Säkerhetsskyddslagstiftningen gäller för verksamhet hos staten, kommunerna och landstingen, i aktiebolag, handelsbolag, föreningar och stiftelser över vilka staten, kommuner eller landsting utövar ett rättsligt bestämmande inflytande och för enskilda, om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. Myndigheter och andra som bestämmelserna om säkerhetsskydd gäller för ska bl.a. undersöka vilka uppgifter i verksamheten som ska hållas hemliga med hänsyn till rikets säkerhet. Resultatet ska dokumenteras i en säkerhetsanalys.
Det pågår för närvarande en översyn av säkerhetsskyddslagstiftningen med förslag om att bl.a. utvidga lagens tillämpningsområde för att uppnå ett bättre skydd för Sveriges säkerhet. I betänkandet
540
Bilaga 1
En ny säkerhetsskyddslag (SOU 2015:25) föreslås bl.a. att säkerhetsskydd ska gälla för verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Säkerhetsskyddet ska enligt förslaget inriktas mot säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet vilket innebär att lagens tillämpningsområde utvidgas. Skyddet av säkerhetsskyddsklassificerade uppgifter föreslås gälla för sådana uppgifter som är av betydelse för Sveriges säkerhet och som omfattas av sekretess eller som skulle ha omfattats av sekretess om offentlighets- och sekretesslagen (2009:400) hade varit tillämplig. Härigenom tydliggörs att bestämmelsen även avses gälla för enskilda verksamhetsutövare. Genom införandet av uttrycket i övrigt säkerhetskänslig verksamhet föreslås det skyddsvärda området också omfatta verksamhet av annat slag, t.ex. hantering av it-system eller av sammanställningar av uppgifter som är av central betydelse för ett fungerande samhälle. Här ingår även sådant som i dag skyddas inom ramen för skydd mot terrorism, dvs. i huvudsak verksamhet vid skyddsobjekt och flygplatser och vissa andra aktiviteter. Utredningens förslag innebär alltså att uttrycket säkerhetskänslig verksamhet ges en vidare innebörd för att innefatta lagens skyddsintressen i dess helhet.
Behovet av säkerhetsskydd ska utredas i en säkerhetsskyddsanalys. Även i den nya lagstiftningen ska säkerhetsskyddsanalysen tjäna som underlag för val av säkerhetsskyddsåtgärder (informationssäkerhet, fysisk säkerhet och personalsäkerhet). Även i framtiden ska den som är ansvarig för en verksamhet också ansvara för att verksamheten har ett fullgott säkerhetsskydd. Utredningen föreslår också att bestämmelserna om säkerhetsskyddad upphandling ska överföras till den nya lagstiftningen. Tillämpningsområdet utökas dock något i linje med lagstiftningen i övrigt.
Uppdraget att förebygga risker vid utkontraktering, upplåtelse och överlåtelse av säkerhetskänslig verksamhet
Alla förvaltningsmyndigheter under regeringen ska enligt myndighetsförordningen (2007:515) bedriva sin verksamhet effektivt och hushålla väl med statens resurser. Detta är ett berättigat krav på all verksamhet i offentlig regi. I förlängningen innebär myndighets-
541
Bilaga 1 SOU 2018:82
förordningens krav i detta avseende att offentligt drivna verksamheter måste analysera om alla arbetsuppgifter bör utföras inom den egna organisationen eller om varor och tjänster i stället ska upphandlas externt från enskilda utförare. Motiven för att genom upphandling lägga ut viss verksamhet på en extern aktör kan t.ex. vara effektivitets- eller besparingsskäl. Ett annat skäl kan vara att få tillgång till ny kunskap och nya idéer, kunskap som myndigheterna annars inte hade haft möjlighet att få internt. Det kan också röra sig om större projekt där samverkan mellan offentlig och privat sektor är nödvändig.
Att lägga ut verksamhet på entreprenad kallas ibland för outsourcing. Detta begrepp har ingen legaldefinition och uttrycks på olika sätt i olika sammanhang. När outsourcing sker till en aktör i ett annat land används ibland begreppet offshoring men inte heller för det begreppet finns någon enhetlig tillämpning. Med hänsyn till avsaknaden av en tydlig begreppsbildning samlas begreppen fortsättningsvis under den övergripande termen utkontraktering av säkerhetskänslig verksamhet.
Hur kan säkerhetsrisker vid utkontraktering, upplåtelse och överlåtelse av säkerhetskänslig verksamhet förebyggas?
Även om utkontraktering av säkerhetskänslig verksamhet i många sammanhang kan innebära stora kostnadsbesparingar eller andra fördelar för den utkontrakterande verksamheten, kan det också innebära säkerhetsrisker om verksamheten är av betydelse för rikets säkerhet. En närbesläktad situation där det kan uppstå liknande problematik är när verksamhetsutövare står i begrepp att upplåta eller överlåta säkerhetskänslig verksamhet eller delar av en sådan verksamhet.
Säkerhetspolisen har under senare år uppmärksammat flera händelser där olika verksamhetsutövare anlitat externa aktörer för arbete som berört säkerhetskänslig verksamhet och där säkerhetsskyddet varit bristfälligt. I vissa fall har avtalsförhållanden reglerats genom säkerhetsskyddsavtal som varit otillräckligt utformade. Det finns också exempel på att bestämmelser i säkerhetsskyddsavtal inte har följts. Säkerhetspolisen har vidare framhållit att utkontraktering ofta kan innebära att flera kunders system och information samlas i samma lagringsmedium, t.ex. en molntjänst, vilket innebär en ökad riskexponering för bl.a. säkerhetskänsliga uppgifter. Myndigheten
542
Bilaga 1
har vidare konstaterat att leverantören därigenom riskerar att bli ett attraktivt mål för bl.a. andra länders underrättelseinhämtning.
I förslaget till ny säkerhetsskyddslag föreslås flera ändringar som innebär ett förstärkt skydd för säkerhetskänslig verksamhet. En sådan förändring är att Säkerhetspolisen och Försvarsmakten ska ha möjlighet att inrikta tillsynen mot sådana leverantörer som har uppdrag för flera myndigheter, kommuner eller landsting och där leverantörens samlade uppdrag är av stor betydelse för Sveriges säkerhet. Utredningen föreslår även att vissa bestämmelser som rör överlåtelse av säkerhetskänslig verksamhet ska förtydligas. I dag är myndigheter som överlåter verksamhet som är av betydelse för rikets säkerhet eller som särskilt behöver skyddas mot terrorism skyldiga att upplysa en enskild förvärvare om att säkerhetsskyddslagen gäller för verksamheten. Enligt förslaget ska den som planerar att i en betydande omfattning överlåta säkerhetskänslig verksamhet också anmäla det till tillsynsmyndigheten. Bestämmelsen föreslås även gälla i fall då den som överlåter verksamheten är en enskild aktör.
De föreslagna åtgärderna omhändertar emellertid inte nu aktuell problemställning fullt ut. Det behöver därför utredas vilka ytterligare åtgärder som skulle kunna vidtas för att komma till rätta med de risker för Sveriges säkerhet som utkontraktering av säkerhetskänslig verksamhet kan innebära. Ett tänkbart sätt att minska riskerna med denna verksamhet skulle kunna vara införandet av bestämmelser om förhandskontroll vid ingående av säkerhetsskyddsavtal i samband med upphandling eller annat avtalsingående. En sådan möjlighet skulle exempelvis kunna innebära en tillståndsprövning som ger Säkerhetspolisen och Försvarsmakten möjlighet att, inom respektive myndighets ansvarsområde, hindra eller ställa ytterligare villkor för utkontraktering när det är nödvändigt för att upprätthålla verksamhetens skyddsvärde eller i fall då tänkta eller vidtagna säkerhetsskyddsåtgärder är bristfälliga.
Även i de situationer när en verksamhetsutövare överväger att upplåta eller överlåta säkerhetskänslig verksamhet kan det finnas behov av åtgärder för att förebygga risker för Sveriges säkerhet. I säkerhetsskyddslagstiftningen finns i dag en grundläggande struktur för hur överlåtelse av säkerhetskänslig verksamhet ska hanteras. I förslaget till ny säkerhetsskyddslag förtydligas kraven på verksamhetsutövare i dessa sammanhang. Bestämmelserna behöver dock ses över ytterligare bl.a. ur perspektivet att säkerhetskänslig verksamhet
543
Bilaga 1 SOU 2018:82
även måste kunna skyddas vid upplåtelse av viss funktion eller del av verksamhet. Det kan t.ex. innebära krav på en särskild bedömning av verksamhetens betydelse för annan skyddsvärd verksamhet och möjlighet för staten att ingripa om upplåtelsen eller överlåtelsen kan antas inverka negativt på Sveriges säkerhet. Säkerhetskänslig verksamhet bör i detta sammanhang ges en vid tolkning. Både överlåtelse och upplåtelse av såväl hela eller delar av verksamheter som viss egendom bör omfattas.
De åtgärder som bör övervägas väcker flera svåra frågor och behöver därför analyseras noggrant. Frågorna knyter t.ex. nära an till vilka befogenheter som tillsynsmyndigheterna bör ha för att ingripa vid ett bristande säkerhetsskyddsarbete. Vid utformningen av sådana förslag måste andra närliggande regelverk beaktas, t.ex. lagstiftningen om offentlig upphandling.
Utredaren ska därför
• kartlägga behovet av att förebygga att säkerhetskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet,
• utifrån kartläggningen föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning, och
• utarbeta nödvändiga författningsförslag.
Ett system för sanktioner i säkerhetsskyddslagen ?
Säkerhetsskyddslagen syftar till att säkerställa skydd för det allra mest skyddsvärda i samhället. I lagen finns bestämmelser om åtgärder som ska vidtas för att skydda säkerhetskänslig verksamhet, tillträdesbegränsning till känsliga byggnader och områden, säkerhetsprövning av personal och informationssäkerhet. Dagens lagstiftning innehåller inga bestämmelser om sanktioner mot den som åsidosatt sitt säkerhetsskyddsarbete. I betänkandet En ny säkerhetsskyddslag föreslås inte heller att sanktioner ska införas i lagen. Utredningen öppnar dock för att frågan kan komma att behöva analyseras ytterligare i framtiden. Flera remissinstanser har också framfört att sanktioner bör införas i säkerhetsskyddslagen.
544
Bilaga 1
Krav på sanktioner finns däremot i Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen, det s.k. NIS-direktivet. Direktivet innebär bl.a. krav på åtgärder för att förbättra informationssäkerheten i samhällsviktig verksamhet inom vissa särskilt utpekade sektorer. Enligt direktivet ska medlemsstaterna se till att sanktioner ska kunna beslutas för överträdelser av nationella bestämmelser som har antagits med stöd av direktivet. NIS-direktivet påverkar inte medlemsstaternas åtgärder för att skydda nationell säkerhet. Den verksamhet som omfattas av säkerhetsskyddslagen kommer därför inte att regleras när NIS-direktivet genomförs i svensk rätt.
Avsaknaden av sanktioner i säkerhetsskyddslagen mot den verksamhetsutövare som brustit i sitt säkerhetsskyddsarbete riskerar att medföra mindre följsamhet hos de aktörer som omfattas av lagstiftningen. Den risken gör sig inte minst gällande eftersom den nya lagstiftningen i viss mån kommer att innebära hårdare krav på förebyggande åtgärder och på ett tydligare sätt rikta sig mot enskilda aktörer. En situation där avsaknaden av sanktioner i säkerhetsskyddslagen resulterar i att verksamhetsutövare inte vidtar nödvändiga säkerhetsskyddsåtgärder skulle vara skadlig för Sveriges säkerhet. Vidare vore det djupt otillfredsställande om den som bedriver verksamhet med betydelse för Sveriges säkerhet, och som åsidosatt sitt säkerhetsskyddsarbete, inte skulle kunna åläggas sanktioner när en sådan möjlighet finns för vissa aktörer som omfattas av NIS-direktivet och som brustit i sitt arbete med informationssäkerhet. Införandet av sanktioner skulle också ligga i linje med de rekommendationer som Riksrevisionen lämnat i rapporten Informationssäkerheten i den civila statsförvaltningen (RiR 2014:23). Regeringens slutsats är därför att en ny säkerhetsskyddslag bör kompletteras med en möjlighet att utfärda sanktioner mot aktörer som brister i sitt säkerhetsskyddsarbete.
Utredaren ska därför
• analysera vilka brister i arbetet med säkerhetsskydd som bör beläggas med sanktioner och föreslå ett system med lämpliga sanktioner för att uppnå säkerhetsskyddslagstiftningens ändamål,
• föreslå vilken eller vilka myndigheter som ska få befogenhet att besluta om sanktioner, och
• utarbeta nödvändiga författningsförslag.
545
Bilaga 1 SOU 2018:82
Hur ska tillsynen enligt säkerhetsskyddslagen vara utformad?
Enligt nuvarande säkerhetsskyddslag är framför allt Säkerhetspolisen och Försvarsmakten ansvariga för tillsyn av säkerhetsskyddet hos myndigheter och andra verksamheter som lagstiftningen gäller för. Affärsverket svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen och länsstyrelserna har ett särskilt ansvar för tillsyn av säkerhetsskyddet hos bolag, föreningar och stiftelser samt enskilda. En grundläggande förutsättning för tillsynen är att de som omfattas av säkerhetsskyddslagen samarbetar med tillsynsmyndigheterna och rättar sig efter de anvisningar och rekommendationer som lämnas inom ramen för tillsynsverksamheten. Tillsynen enligt nuvarande säkerhetsskyddslag är huvudsakligen av rådgivande och stödjande karaktär. Från verksamhetshåll uttrycks ofta att det finns ett stort behov av vägledning och utbildning från tillsynsmyndigheterna.
Utredningen om säkerhetsskyddslagen konstaterar att formerna för tillsynen av säkerhetsskyddet i väsentliga avseenden avviker från hur offentlig tillsyn normalt är ordnad. Samtidigt framhålls att tillsynen på området har ett stort inslag av råd och stöd till verksamhetsutövarna. Utredningen stannar därför vid bedömningen att det inte finns tillräckliga skäl för att förändra tillsynens inriktning och genomförande. Däremot föreslår utredningen att Myndigheten för samhällsskydd och beredskap (MSB) ska ta över tillsynsansvaret för kommuner och landsting från Säkerhetspolisen och även länsstyrelsernas ansvar för enskilda verksamheter som inte hör till övriga säkerhetsskyddsstödjande myndigheters tillsynsområden.
Förslaget att göra MSB till en s.k. säkerhetsskyddsstödjande myndighet har fått ett blandat mottagande i samband med remitteringen av betänkandet. Flera remissinstanser avstyrker helt eller har invändningar mot förslaget medan andra ställer sig positiva till förslaget. Skälen som anförs mot MSB som säkerhetsskyddsstödjande myndighet är bl.a. att den stödjande roll som MSB har på informationssäkerhetsområdet kan försvagas om den styrande rollen ska förstärkas i form av nytt ansvar för tillsyn. Från flera remissinstanser framförs också att även andra myndigheter bör utses till säkerhetsskyddsstödjande myndigheter. I remissvaren nämns särskilt Finansinspektionen inom den finansiella sektorn, Strålsäkerhetsmyndigheten för kärnteknisk verksamhet och Statens energimyndighet i fråga om fjärrvärme-, naturgas- samt olje- och drivmedelsförsörjning.
546
Bilaga 1
För närvarande pågår också genomförandet av NIS-direktivet. Den utredning som ser över hur direktivet ska genomföras i Sverige behöver bl.a. överväga hur tillsyn enligt direktivet ska gå till. Liksom i säkerhetsskyddslagen måste frågan om hur tillsynen ska organiseras bland flera myndigheter analyseras.
Mot bakgrund av bl.a. de synpunkter som har lämnats under remitteringen av betänkandet En ny säkerhetsskyddslag och den pågående utredningen om genomförandet av NIS-direktivet finns det anledning att på nytt utreda vilka myndigheter som bör ha uppgifter för tillsyn enligt säkerhetsskyddslagstiftningen. En eventuellt ny tillsynsstruktur ska dock, som i dag, bygga på att det huvudsakliga ansvaret för tillsynen vilar på Säkerhetspolisen och Försvarsmakten inom respektive myndighets ansvarsområde. Vid ett införande av sanktionsmöjligheter i lagstiftningen kommer även tillsynens karaktär att behöva förändras. I dag har tillsyn enligt säkerhetsskyddslagen en vid bemärkelse och avser främst rådgivning och stöd på området. Om sanktioner införs i lagstiftningen blir det dock nödvändigt att tillsynen inriktas i mer traditionell mening (se regeringens skrivelse om tillsyn, skr. 2009/10:79). Utöver den renodlade tillsynen kommer det dock att finnas fortsatt behov av rådgivning och stöd. Hur tillsyn, rådgivning och stödverksamhet ska bedrivas behöver analyseras och kommer eventuellt att föranleda ändringar jämfört med i dag, t.ex. i fråga om tillsynsmyndigheternas befogenheter.
Utredaren ska därför
• föreslå hur en ändamålsenlig tillsyn enligt säkerhetsskyddslagen ska bedrivas, bl.a. mot bakgrund av införandet av sanktioner i säkerhetsskyddslagen,
• analysera och föreslå vilka myndigheter, utöver Säkerhetspolisen och Försvarsmakten, som ska ha ansvar för tillsyn enligt lagstiftningen, och
• utarbeta nödvändiga författningsförslag.
Konsekvensbeskrivningar
Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för enskilda och det allmänna, i synnerhet för de myndigheter som är eller föreslås bli tillsynsmyndigheter enligt säkerhetsskyddslagen,
547
Bilaga 1 SOU 2018:82
samt konsekvenserna i övrigt av förslagen. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras.
I 14 kap. 3 § regeringsformen anges att en inskränkning av den kommunala självstyrelsen inte bör gå utöver vad som är nödvändigt med hänsyn till ändamålen. Det innebär att en proportionalitetsprövning ska göras under lagstiftningsprocessen. Om något av förslagen i betänkandet påverkar det kommunala självstyret ska därför, utöver dess konsekvenser, också de särskilda avvägningar som lett fram till förslagen särskilt redovisas. En sådan bedömning ska också göras om något av förslagen i betänkandet kan komma att påverka enskilda. I 2 kap.15 och 17 §§regeringsformen regleras egendomsskyddet och näringsfriheten. Dessa rättigheter får endast begränsas i syfte att skydda angelägna allmänna intressen. Om utredaren överväger förslag som kan påverka egendomsskyddet eller näringsfriheten ska förslagen därför analyseras i förhållande till dessa bestämmelser.
Samråd och redovisning av uppdraget
Utredaren ska hålla Regeringskansliet (Justitiedepartementet) informerat om det löpande arbetet.
Utredaren ska under arbetets gång ta hänsyn och förhålla sig till det fortsatta arbetet med en ny säkerhetsskyddslag och genomförandet av NIS-direktivet. Utredaren ska också hålla sig informerad om det arbete som bedrivs i Utredningen om förbättrat skydd för totalförsvarsverksamhet (Fö 2017:31) och beakta annat relevant arbete som pågår inom Regeringskansliet och kommittéväsendet.
Under genomförandet av uppdraget ska utredaren, i den utsträckning som bedöms lämplig, också samråda med och inhämta upplysningar från de myndigheter och andra organisationer som berörs av aktuella frågor.
Uppdraget ska redovisas senast den 1 maj 2018.
(Justitiedepartementet)
548
Bilaga 2
Kommittédirektiv 2018:2
Tilläggsdirektiv till Utredningen om vissa säkerhetsskyddsfrågor (Ju 2017:08)
Beslut vid regeringssammanträde den 18 januari 2018
Utvidgning av och förlängd tid för uppdraget
Regeringen beslutade den 23 mars 2017 kommittédirektiv om utkontraktering av säkerhetskänslig verksamhet, sanktioner och tillsyn (dir. 2017:32). Enligt utredningens direktiv ska uppdraget slutredovisas senast den 1 maj 2018.
Den särskilda utredaren får nu i uppdrag att analysera och föreslå i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser med utomstående som berör den säkerhetskänsliga verksamheten. Utredningstiden förlängs och uppdraget ska i stället slutredovisas senast den 31 oktober 2018.
En utvidgning av skyldigheten att ingå säkerhetsskyddsavtal
Gällande krav på säkerhetsskyddsavtal
Enligt säkerhetsskyddslagen gäller att om staten, en kommun eller ett landsting avser att begära in anbud eller träffa avtal om upphandling där det förekommer uppgifter som med hänsyn till rikets säkerhet omfattas av sekretess, ska ett säkerhetsskyddsavtal ingås med anbudsgivaren eller leverantören om det säkerhetsskydd som behövs i det särskilda fallet. Av 7 kap. 8 § Säkerhetspolisens föreskrifter och
549
Bilaga 2 SOU 2018:82
allmänna råd om säkerhetsskydd (PMFS 2015:3) och 8 kap. 7 § Försvarsmaktens föreskrifter om säkerhetsskydd (FFS 2015:2) följer att en myndighet utan dröjsmål ska underrätta Säkerhetspolisen om säkerhetsskyddsavtal som har ingåtts och om säkerhetsskyddsavtal som upphört att gälla.
Regeringen har den 16 november 2017 beslutat lagrådsremissen Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag. I lagrådsremissen föreslås att säkerhetsskyddslagen ska ersättas av en ny lag som ska svara mot de förändrade kraven på säkerhetsskyddet som samhällsutvecklingen har medfört. Den nya säkerhetsskyddslagen föreslås gälla för både offentliga och enskilda verksamhetsutövare som till någon del bedriver säkerhetskänslig verksamhet. Uttrycket säkerhetskänslig verksamhet innebär verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Med säkerhetsskydd avses enligt lagen dels skydd av säkerhetskänslig verksamhet mot brott, dels skydd av uppgifter som rör sådan verksamhet om uppgifterna omfattas av sekretess eller skulle ha gjort det om offentlighets- och sekretesslagen (2009:400) hade gällt hos verksamhetsutövaren.
Förslaget innehåller även förändringar av bestämmelsen om när säkerhetsskyddsavtal ska ingås. Statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader föreslås bli skyldiga att se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd ska tillgodoses av leverantören. Ett säkerhetsskyddsavtal ska enligt förslaget ingås om det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller om upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Enligt lagrådsremissen ska samma krav gälla även för enskilda verksamhetsutövare som ingår avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer.
550
Bilaga 2
Kravet på säkerhetsskyddsavtal behöver utvidgas även till andra samarbeten
Trots att kravet på att ingå säkerhetsskyddsavtal utvidgas i förslaget till ny säkerhetsskyddslag kommer det även fortsättningsvis i princip enbart att gälla för upphandlingssituationer. I den nyligen beslutade lagrådsremissen har det inte varit möjligt att vidga kravet ytterligare eftersom beredningsunderlag saknas. Offentliga och enskilda aktörer samverkar i dag på många fler sätt än vid regelrätta upphandlingar. Sådan samverkan finns t.ex. inom informations- och cybersäkerhetsområdet vilket bl.a. berörts i regeringens skrivelse Nationell strategi för samhällets informations- och cybersäkerhet (skr. 2016/17:213). Sådana samarbeten kan även förekomma när statliga myndigheter i andra fall levererar tjänster till utomstående eller vid olika typer av forskningsprojekt där offentliga och enskilda aktörer deltar och delar information. Om ett sådant samarbetsprojekt skulle beröra säkerhetskänslig verksamhet skulle det varken enligt den gällande eller den nya säkerhetsskyddslagen medföra krav på att ingå säkerhetsskyddsavtal.
En grundläggande princip inom säkerhetsskyddet är att de intressen som lagstiftningen slår vakt om bör ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. En naturlig konsekvens av denna princip bör vara att när en aktör som bedriver säkerhetskänslig verksamhet avser att dela information med någon utomstående, eller ge den utomstående tillgång till säkerhetskänslig verksamhet, ska informationens eller verksamhetens skyddsvärde upprätthållas. I vissa sådana samarbetssituationer, t.ex. inom försvars- och säkerhetsområdet, omhändertas skyddsvärdet genom att förtroendet mellan parterna bygger på ett ömsesidigt skydd av den information som utbyts. I andra situationer är det dock rimligt att, på samma sätt som i upphandlingssituationer, ställa krav på att ingå säkerhetsskyddsavtal.
Eftersom kravet på att ingå säkerhetsskyddsavtal i förslaget till ny säkerhetsskyddslag är begränsat till att i princip gälla för upphandlingssituationer finns nu skäl att utreda hur lagstiftningen kan kompletteras. Uppdraget bör omfatta samarbetssituationer som inte träffas av kravet på säkerhetsskyddsavtal i förslaget till ny säkerhetsskyddslag, med undantag för sådant samarbete som en myndighet bedriver i enlighet med författning eller regeringsbeslut och som
551
Bilaga 2 SOU 2018:82
förutsätter ett utbyte av säkerhetskänsliga uppgifter och där förtroendet mellan parterna bygger på ett ömsesidigt intresse av att säkerheten för uppgifterna upprätthålls.
Utredaren ska därför
• analysera och föreslå i vilken utsträckning verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vara skyldiga att ingå säkerhetsskyddsavtal vid överenskommelser som träffas med utomstående och som berör den säkerhetskänsliga verksamheten,
• lämna nödvändiga författningsförslag.
Kontakter och redovisning av uppdraget
Utredaren ska hålla Regeringskansliet (Justitiedepartementet) informerat om det löpande arbetet.
Uppdraget ska redovisas senast den 31 oktober 2018.
(Justitiedepartementet)
552