Säkerhetsskyddschefens roll i organisationen bör stärkas

Förslag: Bestämmelser om säkerhetsskyddschef, som hittills funnits i förordning, förs in i säkerhetsskyddslagen. Bestämmelserna innebär att det liksom tidigare ska finnas en säkerhetsskyddschef vid en säkerhetskänslig verksamhet, om det inte är uppenbart obehövligt. Säkerhetsskyddschefens uppdrag förtydligas genom att det anges att han eller hon ska leda och samordna säkerhets-skyddsarbetet samt kontrollera att verksamheten bedrivs i enlig-het med vad som föreskrivs i säkerenlig-hetsskyddslagen och de före-skrifter som meddelats med stöd av lagen. Det föreskrivs att detta ansvar inte får delegeras. Det hittillsvarande kravet på att säker-hetsskyddschefen ska vara direkt underställd myndighetens chef görs tillämpligt på alla verksamhetsutövare genom att det anges att säkerhetsskyddschefen ska vara direkt underställd den person som är ansvarig för verksamhetsutövarens verksamhet.

Det yttersta ansvaret för säkerhetsskyddet åvilar den som är chef för verksamhetsutövaren, t.ex. en myndighetschef eller verkställande direktör. De förslag som vi lämnar i detta avsnitt utgår från att den som är chef för verksamhetsutövaren även i fortsättningen kommer att ha det yttersta ansvaret för säkerhetsskyddet.

I 2 kap. 2 § nya säkerhetsskyddsförordningen finns det bestäm-melser som innebär en skyldighet för en verksamhet som förord-ningen gäller för att ha en säkerhetsskyddschef, om det inte är uppenbart obehövligt. Det anges vidare att säkerhetsskyddschefens

uppgift är att kontrollera att verksamheten bedrivs i enlighet med vad som föreskrivs i nya säkerhetsskyddslagen och förordningen.

Vid myndigheter ska säkerhetsskyddschefen vara direkt underställd myndighetens chef.

Regler om säkerhetsskyddschef bör finnas i lag

Vi har i problembeskrivningen konstaterat att det förekommer brister i kommunikationen mellan verksamhetsutövares säkerhetsfunktion och den funktion, ofta i ledningen, som beslutar om t.ex. utkon-traktering. Detta kan leda till och bidra till brister i flera avseenden bl.a. i samband med utkontraktering och andra förfaranden där utom-stående involveras i den säkerhetskänsliga verksamheten.

Säkerhetsskyddschefens roll i verksamheten uppmärksammades vid granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6). I promemorian angavs att säkerhetsskyddschefen upp-fattade att det var svårt att få genomslag för säkerhetsskyddsfrågor både på ledningsnivå och i verksamheten samt att säkerhetsfrågorna kom in alldeles för sent i upphandlingarna av it-drift och stordator-migrering (s. 98). Utredaren beskriver Transportstyrelsens säkerhets-kultur på så sätt att säkerhetsskyddet har uppfattats som något som primärt har varit säkerhetsskyddschefens ansvar och inte en del av verksamhetens ansvar (s. 86).

Det anförda visar på vikten av att säkerhetsskyddschefen organ-isatoriskt finns nära verksamhetens chef. En sådan ordning skapar förutsättningar för att säkerhetsskyddsfrågorna i allmänhet får en högre prioritet i organisationen än i dag, vilket framstår som nöd-vändigt mot bakgrund av de brister som framkommit. Som beskri-vits ovan gäller det för myndigheter redan ett krav på att säkerhets-skyddschefen är direkt underställd myndighetschefen. Vi anser dock att skälen för en sådan regel även gör sig gällande i fråga om andra verksamhetsutövare på säkerhetsskyddslagens område. Motsvaran-de skyldighet bör därför gälla även för enskilda verksamhetsutövare, liksom för kommuner och landsting. Eftersom det får anses handla om en bestämmelse som innebär åligganden för kommuner och enskilda bör den finnas i lag; lämpligen i en ny paragraf i 2 kap. i nya säkerhetsskyddslagen.

Vi anser det inte lämpligt att i lagtexten närmare ange vem som i olika slags organisationer är verksamhetens chef. Det bör dock handla om den högsta chefen hos den verksamhetsutövare som be-driver den säkerhetsskyddskänsliga verksamheten. Vem detta är beror på hur verksamheten har organiserats. I ett aktiebolag är den högsta chefen normalt verkställande direktören, men det finns också aktiebolag utan verkställande direktör, 8 kap. 27 § aktiebolagslagen (2005:551). I en kommun ska det utses en högsta tjänsteman, en direktör, som leder förvaltningen i enlighet med en instruktion som kommunstyrelsen fastställer, 7 kap. 1 och 2 §§ kommunallagen (2017:725). Normalt torde denne vara att anses som verksamhets-utövarens chef när det gäller säkerhetsskyddsfrågor.

I likhet med bestämmelsen i säkerhetsskyddsförordningen bör det av den nya paragrafen framgå att verksamhetsutövare enligt säker-hetsskyddslagen ska ha en säkerhetsskyddschef om det inte är uppen-bart obehövligt. Så kan exempelvis vara fallet om den säkerhets-känsliga verksamheten har mycket liten omfattning. Det kan också ha betydelse vilka säkerhetsskyddsklassificerade uppgifter det gäller eller hur säkerhetskänslig verksamhet det i övrigt är fråga om.

Säkerhetsskyddschefens roll bör utvecklas och förtydligas

En fråga som uppkommit under vårt arbete är om det även finns skäl för att överväga ändringar av säkerhetsskyddschefens roll. Som ovan nämnts följer det av nya säkerhetsskyddsförordningen att säkerhets-skyddschefens uppgift är att kontrollera att verksamheten bedrivs i enlighet med vad som föreskrivs i nya säkerhetsskyddslagen och förordningen. Denna skyldighet bör säkerhetsskyddschefen ha även i framtiden.

Enligt vår mening är det dock viktigt att säkerhetsskyddschefen, utöver sin kontrollerande roll, även har en aktiv roll och är drivande i arbetet med att ta fram och bibehålla ett väl anpassat säkerhets-skydd. Detta bör klart framgå av bestämmelsens ordalydelse. Vi föreslår därför att det i paragrafen anges att säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet inom verksamheten.

Förslaget innebär ingen förändring vad gäller det yttersta ansvaret för säkerhetsskyddet, som alltjämt bör ligga hos den som är chef för verksamhetsutövaren.

Säkerhetsskyddschefen bör rapportera till organisationens högsta chef och bör normalt ingå i en eventuell ledningsgrupp. Med en sådan ordning skapas det enligt vår mening förutsättningar för att säkerhetsskyddet uppmärksammas och beaktas i den dagliga styr-ningen av verksamheten. Säkerhetsskyddschefen, och det eventuella säkerhetsskyddsteam som rapporterar till honom eller henne, bör därmed i god tid involveras i alla frågor som aktualiserar säkerhets-skydd. Det kan då handla om allt från säkerhetsskyddsavtal till drift-sättning av nya informationssystem (se t.ex. reglerna i 3 kap. nya säkerhetsskyddsförordningen).

En särskild fråga är om säkerhetsskyddschefens ansvar bör kunna delegeras till någon annan person i organisationen än säkerhets-skyddschefen. Vår uppfattning är att detta inte bör vara tillåtet.

Skälet till vår bedömning är att det alltid bör finnas en person som har ansvaret för att kontrollera att säkerhetsskyddsskyddsregleringen följs och som har en helhetsbild av verksamhetens skyddsvärden och säkerhetsskydd. Om ansvaret får delegeras uppnår man inte de viktiga fördelar som finns med att denna person, dvs. säkerhetsskydds-chefen, är direkt underställd verksamhetsutövarens chef. Vi föreslår därför att paragrafen ska innehålla en bestämmelse som går ut på att säkerhetsskyddschefens ansvar inte får delegeras. En annan sak är att det naturligtvis måste vara möjligt att delegera olika arbetsuppgifter på säkerhetsskyddsområdet till andra än säkerhetsskyddschefen.

6.7 En första kontrollstation – särskild