Inriktning på våra överväganden

Bedömning: De förebyggande åtgärder som införs bör inte vara knutna till den rättsliga rubriken på ett visst förfarande, t.ex.

utkontraktering, utan bör i stället knytas till om förfarandet inne-bär att säkerhetsskyddsklassificerade uppgifter eller i övrigt säker-hetskänslig verksamhet exponeras för någon utomstående. Vissa åtgärder för att generellt stärka säkerhetsskyddet i centrala av-seenden bör övervägas.

Förhållandet till våra förslag om säkerhetsskyddsavtal

Vi har bl.a. fått i uppgift att utreda vilka ytterligare åtgärder som skulle kunna vidtas för att komma till rätta med de negativa konse-kvenser för Sveriges säkerhet som utkontraktering och upplåtelse av säkerhetskänslig verksamhet kan innebära. Genom tilläggsdirektiv har vi också fått i uppgift att analysera och föreslå i vilken ut-sträckning verksamhetsutövare ska vara skyldiga att ingå säkerhets-skyddsavtal vid överenskommelser med utomstående som berör den säkerhetskänsliga verksamheten. Vi har redovisat våra överväganden om säkerhetsskyddsavtal i kapitel 5 och där föreslagit en bred ansats, där skyldigheten att ingå säkerhetsskyddsavtal omfattar betydligt fler fall än i dag. Som vi har angett i avsnitt 6.1 anser vi att dessa två delar av uppdraget måste ses som en helhet, mot bakgrund av det övergripande syftet med vårt utredningsuppdrag som är att stärka förmågan att effektivt och samordnat förebygga och möta omedel-bara hot mot och utmaningar för Sveriges säkerhet.

Utgångspunkten för våra förslag om en utvidgad skyldighet att ingå säkerhetsskyddsavtal är att det bör krävas ett säkerhetsskydds-avtal när den som bedriver säkerhetskänslig verksamhet inleder ett förfarande som innebär att någon utomstående kan få tillgång till uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i övrigt till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Med ett samlat uttryck har vi beskrivit detta som att uppgifterna eller verksamheten exponeras för någon utomstå-ende. Vi har med hänsyn till den utgångspunkten föreslagit att man i reglerna slopar kopplingen till upphandling och andra anskaff-ningar, och i stället fokuserar på om uppgifter eller verksamhet i övrigt exponeras. Det blir då de möjliga negativa konsekvenserna av ett visst förfarande som står i centrum, och inte den rättsliga rub-riken på förfarandet. Ett motiv till förslaget är att det finns situa-tioner där det kan finnas ett lika stort behov av säkerhetsskydds-åtgärder hos motparten som vid en anskaffning. Ett annat motiv är att behovet av säkerhetsskydd inte behöver vara kopplat till att verksamhetsutövaren är just beställare.

Om våra förslag i kapitel 5 genomförs, kommer kravet på säker-hetsskyddsavtal att träffa betydligt fler fall, och i princip omfatta alla slags avtal och samarbeten och all slags samverkan, förutsatt att förfarandet innebär en exponering för någon utomstående part av

uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller i övrigt säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Därigenom kommer bl.a. upplåtelser att omfattas, om förutsättningarna i övrigt är uppfyllda. Kravet på säkerhets-skyddsavtal kommer också att gälla vid olika former av samverkan, t.ex. mellan myndigheter och enskilda. Det föreslås däremot inte gälla vid samverkan och samarbete mellan två eller flera statliga myn-digheter som rör något annat än en viss anskaffning.

Våra överväganden i detta kapitel måste ses mot bakgrund av förslagen i kapitel 5. De förebyggande åtgärder som föreslås i det här kapitlet är med andra ord tänkta att komplettera reglerna om säker-hetsskyddsavtal med andra typer av förebyggande åtgärder.

Våra överväganden om förebyggande åtgärder begränsas inte till utkontraktering och upplåtelse

Vår kartläggning visar att de problem som aktualiseras vid utkon-traktering också aktualiseras vid andra slags förfaranden, t.ex. vissa upplåtelser och upphandlingar. Som vi har angett tidigare, bör man enligt vår mening betrakta vårt uppdrag som en helhet, där uppgiften att överväga ändringar i fråga om skyldigheten att ingå säkerhets-skyddsavtal ingår. Vi anser därför att det finns starka skäl för att man – så som vi gjort i fråga om säkerhetsskyddsavtal – väljer en bred ansats och i regleringen utgår från om ett visst förfarande medför en exponering av säkerhetsskyddsklassificerade uppgifter eller säkerhets-känslig verksamhet i övrigt. Ett sådant angreppssätt skulle innebära att de förebyggande åtgärderna inte begränsas till utkontraktering och upplåtelse. Det finns också andra tungt vägande skäl för detta.

Ett skäl som talar för en bred ansats är att det kan finnas andra situationer än just utkontraktering och upplåtelse som medför mot-svarande konsekvenser ur säkerhetsskyddsperspektiv. Det är svårt att förutse precis vilka situationer det kan handla om, men man kan t.ex. tänka sig forskningssamarbeten och vissa anskaffningar som kan vara väl så känsliga som en utkontraktering. Behovet av att verksamhetsutövaren, utifrån en gedigen kunskap om de egna skydds-värdena, bl.a. överväger om förfarandet är lämpligt och vidtar lämp-liga åtgärder för att skydda dessa värden, kan vara lika stort som vid en utkontraktering eller upplåtelse. Som vi ser det kan det innebära en aktualisering av de flesta av de problem som vi har identifierat

beträffande utkontraktering och upplåtelse av säkerhetskänslig verk-samhet. Detta talar för en reglering som inte enbart träffar ut-kontraktering och upplåtelse, utan i stället utgår ifrån om säkerhets-skyddsklassificerade uppgifter eller i övrigt säkerhetskänslig verk-samhet kan exponeras för någon utomstående. Just detta moment, dvs. att verksamhetsutövaren kopplar in en utomstående aktör som kan få tillgång till känsliga uppgifter eller till själva verksamheten, är kännetecknande för både utkontraktering och upplåtelse, varför dessa förfaranden skulle omfattas av regleringen med en sådan bredare ansats.

Samtidigt skulle också andra förfaranden, som medför en motsvar-ande exponering, kunna omfattas. Med en sådan mer generell skriv-ning blir regleringen mer lättillämpad och får bättre förutsättskriv-ningar att stå sig över tid. Bland annat kan den lättare omfatta nya verk-samheter och skydda mot hot av olika karaktär (jfr prop. 2017/18:89 s. 35).

Som vi anfört ovan skulle vidare en bred ansats vara bäst förenlig med våra principiella ställningstaganden och förslag i kapitel 5. En bred ansats skulle också vara bäst förenlig med bestämmelserna om samrådsskyldighet, föreläggande och förbud i 2 kap. 6 § nya säker-hetsskyddsförordningen. Bestämmelserna gäller nämligen generellt för statliga myndigheters upphandlingar i den mån dessa omfattas av krav på säkerhetsskyddsavtal enligt 2 kap. 6 § nya säkerhetsskydds-lagen, och vissa ytterligare förutsättningar är uppfyllda. Om våra förslag skulle begränsas till utkontrakteringar och upplåtelser så skulle det innebära att de förebyggande åtgärderna skulle omfatta färre situationer än vad som gäller enligt de nyss nämnda bestäm-melserna. Detta skulle innebära en försvagning av skyddet, inte en förstärkning. Det kan knappast vara i linje med vårt uppdrag.

Ett ytterligare skäl som talar för en bredare ansats är att det är svårt att uttömmande definiera i synnerhet begreppet utkontraktering.

Begreppet används visserligen redan i viss svensk lagstiftning, men saknar en legaldefinition (jfr 3 kap. 24 § lagen [2017:630] om åtgär-der mot penningtvätt och finansiering av terrorism samt förord-ningen [2001:911] om avgifter för prövning av ärenden hos Finans-inspektionen). Vi befarar att gränsdragningsfrågor skulle kunna uppstå när det gäller förhållandet mellan utkontraktering och att anlita upp-dragstagare eller att köpa en tjänst som i framtiden skulle kunna

komma att utföras av verksamhetsutövaren själv.¹³ Det kan också tänkas att i grunden liknande förfaranden paketeras på olika sätt, vilket kan medföra att de rättsliga bedömningarna av vad det är för typ av förfarande kan variera. En oklar definition av vilka för-faranden som träffas av en viss reglering kan leda till osäkerhet om dels vilka skyldigheter som åligger verksamhetsutövare i fråga om förebyggande åtgärder, dels vilka befogenheter som tillsynsmyndig-heterna har i olika situationer. En sådan osäkerhet om skyldigheter och befogenheter kan i sin tur leda till att kraven på förebyggande åtgärder inte får tillräckligt genomslag i praktiken. Det kan medföra att den önskade förbättringen av säkerhetsskyddet inte uppnås. Slut-ligen finns det en risk för att verksamhetsutövarna lägger onödigt mycket energi på att utreda om det förfarande man planerar verk-ligen är en utkontraktering, samtidigt som man lägger mindre energi på att överväga vilka eventuella konsekvenser och sårbarheter som förfarandet kan medföra ur säkerhetsskyddsperspektiv. En sådan risk finns särskilt eftersom olika förebyggande åtgärder, och säker-hetsskyddsåtgärder, kan vara kostsamma och medföra administrativa påfrestningar för verksamhetsutövarna. Ett sådant skifte av fokus skulle inte vara till fördel ur ett säkerhetsskyddsperspektiv.

Det anförda talar starkt för en sådan bred ansats som vi beskrivit inledningsvis i avsnittet. Vi kan inte se några egentliga nackdelar med en sådan lösning, förutsatt att åtgärderna får en i övrigt lämplig utformning och avgränsning. Med hänsyn till detta har vi valt att överväga förebyggande åtgärder som omfattar, men inte begränsas till, utkontraktering och upplåtelse av säkerhetskänslig verksamhet.

Vår utgångspunkt i det följande är därmed att det är utomståendes tillgång till säkerhetsskyddsklassificerade uppgifter eller i övrigt till säkerhetskänslig verksamhet eller som är styrande för när de före-byggande åtgärderna ska gälla. Det är en annan sak att det också kan behöva ställas ytterligare villkor för att olika åtgärder ska bli aktuella, och att villkoren kan behöva vara strängare ju mer ingripande åtgär-der det är fråga om.

13 Jfr med definitionen av utkontraktering i Vägledning – informationssäkerhet i upphandling (2013), Myndigheten för samhällsskydd och beredskap s. 40.

Vi överväger vissa åtgärder som går ut på att stärka säkerhetsskyddet generellt

Flera av de problem som vi har identifierat i avsnitt 6.4 kan kopplas till att kunskapen och medvetenheten om säkerhetsskyddsregleringen är för dålig hos vissa verksamhetsutövare och att säkerhetsskydds-arbetet inte har en tillräckligt framskjuten roll inom verksamheten.

Med hänsyn till det har vi sett det som nödvändigt att överväga vissa åtgärder som syftar till att mer generellt förstärka säkerhetsskyddet.

Vi utvecklar detta närmare i nästa avsnitt.