Förslag till förordning om ändring

i säkerhetsskyddsförordningen (2018:658)

Regeringen föreskriver i fråga om säkerhetsskyddsförordningen (2018:658)

dels att 2 kap. 2 och 9 §§ ska upphöra att gälla,

dels att 2 kap. 1, 5, 6 och 10 §§, 7 kap. 1–3, 8 och 11 §§ ska ha följande lydelse och rubriken till 7 kap. ska ha följande lydelse,

dels att det ska införas ett nytt kapitel, 8 kap. och två nya paragrafer, 7 kap. 1 a och 3 a §§, av följande lydelse.

Lydelse fr.o.m. den 1 april 2019 Föreslagen lydelse

2 kap.

1 §

Den som bedriver säkerhetskänslig verksamhet ska enligt 2 kap.

1 § säkerhetsskyddslagen (2018:585) göra en säkerhetsskyddsanalys.

Säkerhetsskyddsanalysen inne-bär att säkerhetsskyddsklassi-ficerade uppgifter och vad som i övrigt behöver ett säkerhetsskydd ska identifieras. Vilka delar av verksamheten som är skydds-värda med hänsyn till Sveriges säkerhet samt vilka hot och sår-barheter som finns kopplade till detta skyddsvärde ska också identi-fieras. Säkerhetsskyddsanalysen ska även innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen ska hållas uppdaterad.

Säkerhetsskyddsanalysen inne-bär att säkerhetsskyddsklassi-ficerade uppgifter och vad som i övrigt behöver ett säkerhetsskydd ska identifieras. Vilka delar av verksamheten som är skydds-värda med hänsyn till Sveriges säkerhet samt vilka hot och sår-barheter som finns kopplade till detta skyddsvärde ska också identi-fieras. Säkerhetsskyddsanalysen ska även innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen ska uppdateras åtminstone årligen.

5 § En enskild verksamhetsutövare som avser att ingå ett säker-hetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) ska utan dröjsmål anmäla det till

En enskild verksamhetsutövare som avser att ingå ett säker-hetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) ska utan dröjsmål anmäla det till

den tillsynsmyndighet som an-ges i 7 kap. 1 § första stycket 3–

6. Anmälan syftar till att upp-märksamma tillsynsmyndigheten på eventuellt behov av placering i säkerhetsklass och ska också ut-göra underlag för myndighetens arbete med tillsyn över säkerhets-skyddet. I 5 kap. finns bestäm-melser om beslut om placering i säkerhetsklass samt registerkon-troll och särskild personutredning.

den tillsynsmyndighet som an-ges i 7 kap. 1 § första stycket 3–

13, om det inte föreligger sam-rådsskyldighet enligt 2 a kap. 3 eller 7 § samma lag. Anmälan syftar till att uppmärksamma tillsyns-myndigheten på eventuellt be-hov av placering i säkerhetsklass och ska också utgöra underlag för myndighetens arbete med tillsyn över säkerhetsskyddet.

I 5 kap. finns bestämmelser om beslut om placering i säkerhets-klass samt registerkontroll och särskild personutredning.

6 § En statlig myndighet som avser att genomföra en upphandling som innebär krav på säkerhetsskydds-avtal enligt 2 kap. 6 § säkerhets-skyddslagen (2018:585) ska vidta de åtgärder som anges i andra stycket, om

1. leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför myn-dighetens lokaler, eller

2. leverantören kan få tillgång till säkerhetskänsliga informations-system utanför myndighetens loka-ler och obehörig åtkomst till syste-men kan medföra allvarlig skada för Sveriges säkerhet.

Så snart en fråga om före-läggande enligt 2 a kap. 5 eller 10 § säkerhetsskyddslagen (2018:585) eller förbud enligt 2 a kap. 9 § andra stycket samma lag aktuali-seras vid tillsynsmyndigheten ska tillsynsmyndigheten underrätta den myndighet som är samordnings-myndighet enligt 7 kap. 1 a §.

Tillsynsmyndigheten ska, om det inte är uppenbart obehövligt, ge samordningsmyndigheten möj-lighet att inom viss tid yttra sig innan tillsynsmyndigheten

1. avslutar ett samråd som av-ses i 2 a kap. 3 eller 4 § säker-hetsskyddslagen på något annat sätt än genom ett beslut om att för-farandet inte får genomföras, eller 2. avslutar ett samråd enligt 2 a kap. 7 eller 8 § nyss nämnda lag.

En statlig myndighet som avser att genomföra en sådan upphand-ling ska innan förfarandet inleds 1. genom en särskild säkerhets-bedömning identifiera och doku-mentera vilka säkerhetsskydds-klassificerade uppgifter eller säker-hetskänsliga informationssystem som leverantören kan få del av och som kräver säkerhetsskydd, och

2. samråda med den myndig-het som enligt 7 kap. 1 § första stycket 1 eller 2 utövar tillsyn över den aktuella verksamheten.

Tillsynsmyndigheten får före-lägga myndigheten att vidta åtgär-der enligt säkerhetsskyddslagen och de föreskrifter som har med-delats i anslutning till den lagen.

Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas, får tillsynsmyn-digheten besluta att myntillsynsmyn-digheten inte får genomföra upphandlingen.

Tillsynsmyndigheten får inte fatta beslut i frågan innan tiden för yttrande har gått ut.

Vad som sägs i första och andra styckena gäller inte för Säkerhets-polisen och Försvarsmakten i rollen som tillsynsmyndighet.

10 §

En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen om

1. en säkerhetsskyddsklassificerad uppgift kan ha röjts,

2. det inträffat en it-incident i ett informationssystem som verk-samhetsutövaren är ansvarig för och som har betydelse för hetskänslig verksamhet och där incidenten allvarligt kan påverka säker-heten i systemet, eller

3. verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet.

Om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde enligt 7 kap. 1 § första stycket 1, ska anmälan göras också till För-svarsmakten.

En verksamhetsutövare som får kännedom om att någon annan än verksamhetsutövaren planerar att överlåta eller har överlåtit verk-samheten eller sådan egendom i verksamheten som har betydelse för Sveriges säkerhet eller för ett för Sverige förpliktande åtagande om säkerhetsskydd ska skyndsamt anmäla förhållandet till tillsyns-myndigheten.

7 kap. Tillsyn, föreskrifter och rådgivning

7 kap. Tillsyn, föreskrifter, rådgivning och vägledning 1 §

Tillsyn över säkerhetsskyddet ska utövas av

1. Försvarsmakten när det gäller Fortifikationsverket och För-svarshögskolan samt de myndigheter som hör till Försvarsdeparte-mentet,

2. Säkerhetspolisen när det gäller övriga myndigheter, utom Justitiekanslern, samt kommuner och landsting,

2. Säkerhetspolisen när det gäller domstolarna som inte hör till Försvarsdepartementet, samhälls-skydd och beredskap, Lantmäteriet, Post- och telestyrelsen,

Transport-3. Affärsverket svenska kraft-nät när det gäller enskilda verk-samhetsutövare som bedriver el-försörjningsverksamhet,

4. Transportstyrelsen när det gäller enskilda verksamhetsut-övare som bedriver flygtrafiktjänst för civil luftfart, flygtrafikled-ningstjänst för militär luftfart och verksamhet som i övrigt är av be-tydelse för luftfartsskydd, hamn-skydd och sjöfartshamn-skydd,

5. Post- och telestyrelsen när det gäller enskilda verksamhets-utövare som bedriver verksamhet som avser elektronisk kommu-nikation och posttjänst, och

6. länsstyrelserna när det gäller enskilda verksamhetsutövare som bedriver andra säkerhetskänsliga verksamheter än sådana som anges i 3–5.

styrelsen, Affärsverket svenska kraft-nät, Strålsäkerhetsmyndigheten, Statens energimyndighet samt Läns-styrelserna i Stockholms, Skåne, Västra Götalands län och Norr-bottens län,

3. Affärsverket svenska kraft-nät när det gäller enskilda verk-samhetsutövare inom området el-försörjning samt för enskilda verk-samhetsutövare inom området dammanläggningar,

4. Transportstyrelsen när det gäller Sjöfartsverket, Trafikverket, Luftfartsverket och enskilda verk-samhetsutövare inom områdena civil luftfart, vägtrafik, sjöfart och järnväg,

5. Post- och telestyrelsen när det gäller enskilda verksamhets-utövare inom områdena elek-tronisk kommunikation och post-tjänster,

6. Försvarets materielverk när det gäller enskilda verksamhets-utövare inom området försvars-materiel,

7. Finansinspektionen när det gäller enskilda verksamhetsutövare inom området finansiella företag samt för motsvarande utländska företag som är etablerade i Sverige,

8. Statens energimyndighet när det gäller enskilda verksamhets-utövare inom områdena fjärr-värme-, naturgas-, olje- och driv-medelsförsörjning,

9. Strålsäkerhetsmyndigheten när det gäller enskilda verksam-hetsutövare inom området kärn-teknisk verksamhet,

10. Länsstyrelsen i Stockholms län när det gäller myndigheter, kommuner och landsting som hör till Stockholms, Uppsala, Söder-manlands, VästSöder-manlands, Värm-lands, GotVärm-lands, Örebro, Dalarnas eller Gävleborgs län samt enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsyns-myndighets tillsynsområde, utom Säkerhetspolisen,

11. Länsstyrelsen i Skåne län när det gäller myndigheter, kom-muner och landsting som hör till Kronobergs, Blekinge, Kalmar eller Skåne län och enskilda verksam-hetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsynsmyndig-hets tillsynsområde,

12. Länsstyrelsen i Västra Göta-lands län när det gäller myndig-heter, kommuner och landsting som hör till Hallands, Jönköpings, Västra Götalands eller Öster-götlands län och enskilda verk-samhetsutövare som har sitt säte i något av dessa län, om de inte hör

De myndigheter som anges i första stycket får inom sitt till-synsområde utöva tillsyn över säkerhetsskyddet hos leveran-törer som omfattas av ett säker-hetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585).

Sådan tillsyn får också avse en-skilda verksamhetsutövare som leverantören har anlitat inom ra-men för säkerhetsskyddsavtalet.

till någon annan tillsynsmyndig-hets tillsynsområde,

13. Länsstyrelsen i Norrbottens län när det gäller myndigheter, kommuner och landsting som hör till Västernorrlands, Jämtlands, Västerbottens eller Norrbottens län och enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsynsmyndighets tillsyns-område.

De myndigheter som anges i första stycket får inom sitt till-synsområde utöva tillsyn över säkerhetsskyddet hos leveran-törer och andra utomstående part-er som omfattas av ett säkpart-erhets- säkerhets-skyddsavtal enligt 2 kap. 6 § säker-hetsskyddslagen (2018:585). Sådan tillsyn får också avse verksam-hetsutövare som den utomstå-ende parten har anlitat inom ra-men för säkerhetsskyddsavtalet.

Justitiekanslern är inte

1. följa upp, utvärdera och ut-veckla tillsynsarbetet inom respek-tive myndighets tillsynsområde,

2. i samråd utveckla och till-handahålla metodstöd för tillsyn, 3. verka för erfarenhetsutbyte och 4. förmedla relevant hotinfor-mation till tillsynsmyndigheterna.

2 § Säkerhetspolisen och För-svarsmakten får utöva tillsyn inom de ansvarsområden som anges i 1 § första stycket 3–6 och andra stycket. När sådan tillsyn har ut-övats ska den som har ansvar för tillsynen enligt 1 § underrättas.

Säkerhetspolisen och För-svarsmakten får, om det finns sär-skilda skäl, ta över tillsynsansvaret för en verksamhetsutövare inom de ansvarsområden som anges i 1 § första stycket 3–13 och utom-stående parter som avses i andra stycket samma paragraf. När så-dan tillsyn har utövats ska den som har ansvar för tillsynen en-ligt 1 § underrättas. När det inte längre finns skäl för övertagandet ska tillsynsansvaret återgå till till-synsmyndigheten.

Säkerhetspolisen och Försvarsmakten får även utöva tillsyn över leverantörer som har uppdrag för flera verksamhetsutövare om leve-rantörens samlade uppdrag är av stor betydelse för Sveriges säkerhet.

3 §

Om det vid tillsynen över säkerhetsskyddet konstateras allvarliga brister som trots påpekanden inte rättas till, ska Säkerhetspolisen eller Försvarsmakten anmäla förhållandet till regeringen. Det gäller dock inte brister hos sådana enskilda verksamhetsutövare där vill-koren för säkerhetsskyddet angetts i ett säkerhetsskyddsavtal.

Om sådana brister i säker-hetsskyddet som anges i första stycket konstaterats av någon av de myndigheter som enligt 7 kap.

1 § första stycket 3–6 utövar till-syn, ska myndigheten informera Säkerhetspolisen och Försvars-makten.

Om sådana brister i säker-hetsskyddet som anges i första stycket konstaterats av någon av de myndigheter som enligt 7 kap.

1 § första stycket 3–13 utövar till-syn, ska myndigheten informera Säkerhetspolisen och Försvars-makten.

3 a §

Tillsynsmyndigheten ska ge-nom systematisk kartläggning iden-tifiera de verksamheter inom till-synsmyndighetens ansvarsområde som omfattas av säkerhetsskydds-lagen. Kartläggningen ska genom-föras regelbundet.

Tillsynsmyndigheten ska ha en aktuell förteckning över myndig-hetens tillsynsobjekt.

I fråga om Säkerhetspolisen och Försvarsmakten ska skyldigheten att kartlägga och hålla en förteck-ning över tillsynsobjekt enbart gälla verksamhetsutövare som myndig-heten har övertagit tillsynen över enligt 2 §.

8 § De myndigheter som enligt 1 § första stycket 3–6 utövar till-syn över enskilda verksamhets-utövare får inom sitt respektive ansvarsområde meddela före-skrifter som kompletterar sådana föreskrifter som meddelats med stöd av 4–5 och 7 §§ av Säker-hetspolisen, Försvarsmakten och Försvarets materielverk. Innan en myndighet meddelar före-skrifter ska myndigheten sam-råda med Säkerhetspolisen och Försvarsmakten.

De myndigheter som enligt 1 § första stycket 3–13 utövar till-syn över enskilda verksamhets-utövare får inom sitt respektive ansvarsområde meddela före-skrifter som kompletterar sådana föreskrifter som meddelats med stöd av 4–5 och 7 §§ av Säker-hetspolisen, Försvarsmakten och Försvarets materielverk. Innan en myndighet meddelar före-skrifter ska myndigheten sam-råda med Säkerhetspolisen och Försvarsmakten.

11 § De myndigheter som utövar tillsyn över enskilda verksamhets-utövare ska inom sina respektive ansvarsområden lämna råd om säkerhetsskydd.

De myndigheter som utövar tillsyn ska inom sina respektive ansvarsområden lämna vägled-ning om säkerhetsskydd.

8 kap. Övriga bestämmelser 1 §

Bestämmelsen i 3 § förvalt-ningslagen (2017:900) gäller inte vid Säkerhetspolisens handlägg-ning av ärenden om samråd, före-lägganden och förbud enligt säker-hetsskyddslagen (2018:585). Det-samma gäller i fråga om tillsyn och sanktionsavgifter enligt samma lag.

Denna förordning träder i kraft den 1 januari 2021.

2 Utredningens uppdrag