För några veckor sedan kom det som vi i säkerhetsskyddskretsar väntat så länge på; regeringens förslag med kompletteringar till säkerhetsskyddslagen. Utredningen som ligger till grund för förslagen presenterades redan i slutet av 2018 (SOU 2018:82) och vi har alltså fått vänta i dryga två år på att få närmare inblick i hur regeringen resonerar. Nu är det emellertid tänkt att gå fort; redan den 1 december är förändringarna tänkta att träda i kraft. Det ger verksamhetsutövarna kort om tid för att anpassa verksamheten till kompletterande regler. Det innebär också att tiden är knapp för att komma till rätta med eventuella brister i det existerande säkerhetsskyddet – brister som kan komma att generera sanktioner om förslagen blir verklighet.
Efter att ha tagit del av lagrådsremissen Ett starkare skydd för Sveriges säkerhet från den 18 mars 2021 anser jag att förslagen innebär många viktiga förflyttningar i rätt riktning, samtidigt som regeringen enligt min mening skulle ha kunnat gå ännu längre i vissa delar. Lagrådsremissen innehåller en rad nya krav på verksamhetsutövarna i kombination med större möjligheter för tillsynsmyndigheterna att agera mot de som inte lever upp till det ansvar som det faktiskt medför att bedriva verksamhet av betydelse för Sveriges säkerhet. Inte minst kommer förändringarna om de blir verklighet, att innebära ökad press på verksamhetsutövare att arbeta analysbaserat och systematiskt med sitt säkerhetsskydd. Detta är mycket positivt!
Regeringen har lagt fram förslag på förändringar i fyra huvudsakliga delar. Jag tänkte sammanfatta huvuddragen i förslagen och samtidigt passa på att erbjuda några reflektioner. Det blev en längre text än jag hade tänkt, så jag har valt att dela upp den. Här följer den första av två delar, i vilken jag går igenom förslagen som rör situationer som kräver säkerhetsskyddsavtal.
1. Införande av ett generellt krav på verksamhetsutövare att ingå säkerhetsskyddsavtal då externa parter får tillgång till säkerhetskänslig verksamhet
En grundprincip inom säkerhetsskyddsområdet är att säkerhetskänslig verksamhet ska ha samma skydd oavsett vem som bedriver den. Syftet med ett säkerhetsskyddsavtal är att ange hur en anbudsgivare eller leverantör ska uppfylla krav på åtgärder för att upprätthålla säkerhetsskyddet. säkerställa att säkerhetsskyddet består, oavsett i vilken form eller av vem den säkerhetskänsliga verksamheten bedrivs i vardagen. Dagens reglering innebär att verksamhetsutövare under vissa förutsättningar måste teckna säkerhetsskyddsavtal med externa leverantörer i situationer som omfattar offentlig upphandling (myndigheter) och annan anskaffning (enskilda) av vara, tjänst eller byggentreprenad. För andra typer av situationer som också innebär exponering av säkerhetsskyddsklassificerad information eller i övrigt säkerhetskänslig verksamhet, saknas däremot krav på säkerhetsskyddsavtal. Det kan exempelvis handla om andra former av samarbeten eller samverkan än anskaffning eller situationer då det är den säkerhetskänsliga verksamheten som agerar leverantör genom att upplåta plats i en anläggning där det bedrivs säkerhetskänslig verksamhet. Detta vill regeringen nu komma till rätta med genom att utvidga kravet för verksamhetsutövare att ingå säkerhetsskyddsavtal till att omfatta samtliga tänkbara situationer då en annan aktör kan få tillgång till säkerhetskänslig verksamhet.
Undantaget från det generella kravet är samverkan mellan statliga myndigheter, där det endast är vid anskaffning av en vara, tjänst eller byggentreprenad som kravet på säkerhetsskyddsavtal ska gälla. Precis som för dagens reglering begränsas kravet till att gälla situationer som innefattar exponering av säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Vidare medför förslagna kompletteringar ytterligare krav på såväl innehållet i säkerhetsskyddsavtalet som att verksamhetsutövaren ska följa upp och kontrollera att motparten faktiskt följer avtalet. Förslaget innebär också att det i lagstiftningen tydliggörs att bestämmelserna om säkerhetsprövning i 3 kap. säkerhetsskyddslagen får tillämpas för säkerhetsprövning av personer hos en extern partner med ett säkerhetsskyddsavtal som grund.
Personliga reflektioner
Under nuvarande bestämmelser är det många situationer där säkerhetskänslig verksamhet exponeras för utomstående som faller utanför kravet på säkerhetsskyddsavtal. Det leder till att verksamhetsutövare inte får tillgång till hela verktygslådan som behövs för att upprätthålla säkerhetsskyddet, eftersom säkerhetsskyddsavtalet är det som möjliggör exempelvis säkerhetsprövning med registerkontroll av de personer som ska komma i kontakt med den säkerhetskänsliga verksamheten. Krav på att upprätthålla fysisk säkerhet och informationssäkerhet kan en verksamhetsutövare alltid ställa på en motpart i en annan form av avtal, men vissa åtgärder inom åtgärden personalsäkerhet är alltså beroende av att det finns just ett säkerhetsskyddsavtal att grunda dem på. Information och andra skyddsvärden riskerar därför att exponeras utan heltäckande skydd, om inte verksamhetsutövaren tänjer på gränserna och genomför säkerhetsprövningar som om det handlade om egen personal, men då med tveksamt lagstöd i ryggen. Det är därför positivt att regelverket förtydligas och görs heltäckande.
Samtidigt är frågan om förslaget går lite väl långt för vissa situationer, exempelvis där flera likartade säkerhetskänsliga verksamheter med existerande säkerhetsskydd samverkar och utbyter säkerhetskänslig information med varandra. I sådana situationer riskerar ett generellt krav på säkerhetsskyddsavtal att innebära mycket merarbete i form av ett flertal säkerhetsskyddsavtal och en lång rad säkerhetsprövningar inklusive registerkontroller då alla parter ska pröva samtliga personer som ingår i samverkan. Detta utan att det i praktiken leder till ett starkare skydd för Sveriges säkerhet. Här öppnar emellertid regeringen upp för att använda sin möjlighet att föreskriva eller besluta om undantag från huvudregeln, vilket är positivt. Regeringen understryker också att ett existerande säkerhetsskydd endast tar höjd för de egna skyddsvärden som finns i verksamheten, medan en samverkan med en annan aktör exponerar dennes skyddsvärden. Det kan därför många gånger finnas en vinst med att kräva ett säkerhetsskyddsavtal även för situationer där båda aktörerna redan har ett existerande säkerhetsskydd på plats. Det har regeringen onekligen rätt i, men det kommer sannolikt inte att förhindra att denna del i förslaget fortsatt blir en källa för debatt och olika uppfattningar om huruvida förlaget hamnat rätt i balansgången mellan krav och nyttoeffekt.
2. För samtliga förfaranden som kräver säkerhetsskyddsavtal ska verksamhetsutövaren också genomföra en särskild säkerhetsskyddsbedömning och pröva lämpligheten, samt i vissa fall även samråda med tillsynsmyndigheten. Tillsynsmyndigheterna ges möjlighet att stoppa olämpliga förfaranden.
Särskild säkerhetsskyddsbedömning och lämplighetsbedömning
För samtliga förfaranden som kräver säkerhetsskyddsavtal, föreslår regeringen också att det införs krav på att verksamhetsutövaren innan förfarandet inleds genomför såväl en s.k. särskild säkerhetsskyddsbedömning som en lämplighetsprövning. Det enda undantaget är situationer då säkerhetsskyddsavtal ska ingås med underleverantörer.
I den särskilda säkerhetsskyddsbedömningen ska verksamhetsutövaren, precis som vid upphandling och annan anskaffning idag, identifiera vilka säkerhetsskyddsklassificerade uppgifter och/eller vilken säkerhetskänslig verksamhet i övrigt som kan komma att exponeras för den utomstående aktören och hur säkerhetsskyddet ska omhändertas genom avtalet. Den efterföljande lämplighetsprövningen syftar till att besvara frågan om det tänkta förfarandet är lämpligt mot bakgrund av vad som framkommit i den särskilda säkerhetsskyddbedömningen och övriga omständigheter. Bara för att ett förfarande är praktiskt möjligt, är det nämligen inte säkert att det är lämpligt vid beaktande av de skador som kan uppstå för Sveriges säkerhet. Blir slutsatsen att förfarandet är olämpligt från ett säkerhetsskyddsperspektiv, är verksamhetsutövaren förhindrad att gå vidare med förfarandet.
Samrådsskyldighet
Även om verksamhetsutövaren kommer fram till att förfarandet inte är olämpligt, kommer det i vissa fall att krävas ytterligare insatser innan förfarandet faktiskt kan inledas. I de situationer som involverar mer kvalificerade skyddsvärden föreslår regeringen nämligen att en samrådsskyldighet också införs. Ett sådant krav finns idag för statliga myndigheter i vissa säkerhetsskyddade upphandlingar. Det utökas nu till att gälla samtliga förfaranden som kräver säkerhetsskyddsavtal och riskerar att exponera säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller annan verksamhet av motsvarande betydelse. Tillsynsmyndigheten ges också möjlighet att förelägga verksamhetsutövaren att vidta åtgärder samt att själv inleda samråd om verksamhetsutövaren har underlåtit det. Om ett beslut om föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt, ska tillsynsmyndigheten också kunna förbjuda verksamhetsutövaren att genomföra det önskade förfarandet.
Ingripande i efterhand
Vid sidan av samrådssituationerna där tillsynsmyndigheten kan ingripa med förelägganden, föreslås myndigheten även få möjlighet att ingripa i efterhand mot pågående förfaranden som omfattas av krav på säkerhetsskyddsavtal. Den utlösande faktorn ska vara att tillsynsmyndigheten anser att förfarandet är olämpligt från säkerhetsskyddssynpunkt och ingripandet ska kunna riktas mot såväl verksamhetsutövaren som den andra aktören genom vitesföreläggande.
Personliga reflektioner
Under denna punkt känns förslagen till stor del som en naturlig förlängning av de krav på särskild säkerhetsskyddsbedömning, lämplighetsprövning och samrådsskyldighet som gäller redan idag. Utvidgningen innebär att fler situationer såväl som fler aktörer kommer att träffas av krav på aktiviteter innan ett förfarande inleds, vilket kräver framförhållning och aktiva insatser. Det kan i detta sammanhang nämnas att det ännu inte finns bestämmelser i förordning eller myndighetsföreskrifter om när ett samråd ska anses fullgjort. Jag tror att konsekvenserna av förslaget i denna del har gått många verksamhetsutövare förbi och att det kan bli ett om inte brutalt så åtminstone obekvämt uppvaknande.
Den riktigt stora förändringen blir ändå att tillsynsmyndigheterna får verktyg för att ingripa mot redan inledda förfaranden som bedöms kunna orsaka skador på Sveriges säkerhet. Regeringen vill inte se en ny skandal liknande den som inträffade på Transportstyrelsen, oavsett om det skulle handla om ett redan ingått avtal eller en pågående samverkan. Förändringarna innebär att verksamhetsutövare måste göra sin hemläxa med ett analysbaserat förhållningssätt, ha kontroll över sina skyddsvärden och ålägga motparter relevanta krav för att upprätthålla säkerhetsskyddet. Annars riskerar de att hamna i en sits där tillsynsmyndigheten agerar såväl mot verksamheten som dess motparter och exempelvis stoppar redan pågående tjänsteleveranser.
Del två av detta blogginlägg hittar du här.
Vill du redan nu veta mer om hur din verksamhet kan komma att påverkas av regeringens förslag till kompletteringar i säkerhetsskyddslagen? Kontakta mig på marie.sjoberg@knowit,se, så bokar vi in ett möte.