Yttrande över Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82)

Regelrådets ställningstagande:

Konsekvensutredning är ej godtagbar

Innehåll förslaget

I remissen föreslås nya och ändrade bestämmelser i säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658). Det anges att förslagen i remissen bygger på förslagen till den nya säkerhetsskyddslagen (2018:585) och nya säkerhetsskyddsförordningen (2018:658) som träder i kraft den 1 april 2019.

Det föreslås bland annat att:

Den som bedriver säkerhetskänslig verksamhet ska ingå ett säkerhetsskyddsavtal så snart verksamhetsutövaren avser att ingå ett avtal eller inleda någon annan form av samverkan eller samarbete med en utomstående part, om förfarandet

innebär att den utomstående parten kan få tillgång till säkerhetsskyddsklassificerade uppgifter i (näst lägsta) säkerhetsskyddsklassen konfidentiell eller högre, eller
i övrigt avser eller kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Verksamhetsutövare ska genom en särskild säkerhetsbedömning identifiera vilka säkerhetsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den utomstående parten kan få tillgång till och som kräver säkerhetsskydd, och att en lämplighetsprövning ska göras av den som avser att genomföra ett förfarande som kräver säkerhetsskyddsavtal. Den särskilda säkerhetsbedömningen och lämplighetsprövningen ska dokumenteras. (Kontrollstation 1).
Verksamhetsutövare ska samråda med tillsynsmyndigheten om det planerade förfarandet kräver säkerhetsskyddsavtal och

den utomstående parten kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför verksamhetsutövarens lokaler,
utgör en upplåtelse som kan ge den utomstående parten tillgång till säkerhetskänslig verksamhet i övrigt av motsvarande betydelse för Sveriges säkerhet, eller
ger den utomstående parten tillgång till informationssystem utanför verksamhetsutövarens lokaler och åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. (Kontrollstation 2).
Verksamhetsutövare har både rätt och skyldighet att revidera säkerhetsskyddsavtalet om det krävs på grund av ändrade förhållanden.
Kontrollstation 1 och 2 ska även tillämpas vid överlåtelse av hela eller delar av säkerhetskänslig verksamhet eller egendom som omfattas av lagen om säkerhetsskydd. Samråd får avslutas med ett föreläggande om att överlåtelsen endast får ske på vissa villkor, annars är den ogiltig.
Kontrollstation 2 ska även gälla vid överlåtelser av aktier eller andelar i säkerhetskänslig verksamhet, utom avseende aktier i publika aktiebolag. Även regeln i punkten ovan om förelägganden gäller.
Tillsynsmyndigheten kan förelägga verksamhetsutövaren och den utomstående parten att vidta vissa åtgärder och att delar av eller hela förfarandet ska upphöra. Föreläggandet får förenas med vite. (Kontrollstation 3)
Tillsynsmyndigheten kan förbjuda en överlåtelse i efterhand om den har genomförts utan samråd och förutsättningarna för ett förbud är uppfyllda. Då ska överlåtelsen vara ogiltig.
Verksamhetsutövare som får kännedom om att någon annan planerar att överlåta eller har överlåtit verksamhet eller sådan egendom i verksamhet som omfattas av lagen om säkerhetsskydd, och ska i sådant fall skyndsamt anmäla förhållandet till tillsynsmyndigheten.
Tillsyn ska utövas hos den som träffat ett säkerhetsskyddsavtal (alltså leverantörer och andra utomstående aktörer).
Det föreslås att tillsynsmyndigheterna ska få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn.
Tillsynsmyndigheten kan förelägga de som omfattas av tillsyn att fullgöra sina skyldigheter enligt gällande bestämmelser, och förena sådana förelägganden med vite.
Regleringen om sanktionsavgifter ska bygga på strikt ansvar och att det ska vara obligatoriskt att ta ut sanktionsavgift när en bestämmelse som kan föranleda avgift har överträtts. Sanktionsavgiften är lägst 5000 kronor och högst 10 miljoner kronor.
Tillsynsmyndigheten ska ta ut en sanktionsavgift bland annat av den som

Inte utför eller årligen uppdaterar en säkerhetsskyddsanalys,
Inte vidtar säkerhetsskyddsåtgärder,
Inte säkerhetsskyddsklassificerar uppgifter,
Inte kontrollerar säkerhetsskyddet i den egna verksamheten,
Inte ingår ett säkerhetskyddsavtal eller som ingår ett säkerhetsskyddsavtal som är bristfälligt i väsentlig mån, eller
genomför en verksamhetsöverlåtelse eller överlåter av aktier eller andelar utan samråd eller i strid mot ett förbud eller villkor.
En säkerhetsskyddschef ska utses, om det inte är uppenbart obehövligt. Denne ska leda och samordna säkerhetskyddsarbetet. Detta ansvar får inte delegeras. Chefen ska vara direkt underställd den ansvarige för verksamhetsutövarens verksamhet.
Det föreslås att förslaget tidigast ska träda ikraft den 1 januari 2021.

Det bakomliggande förslaget

Förslag (pdf 3 MB)