Tech Blog

Förslag till nya säkerhetsskyddsregler vid outsourcing – behov av att se över upphandlingsprocessen och avtalet

Inledning

Den 19 mars 2021 publicerade regeringen lagrådsremissen avseende ändring i säkerhetsskyddslagen (2018:585) ämnade att stärka skyddet för Sveriges säkerhet. Förslagen innebär bland annat att utövare av säkerhetskänslig verksamhet inför både upphandlingar, avtal och andra former av samarbeten där en extern aktör får tillgång till särskilt skyddsvärd verksamhet eller information, ska samråda med sin tillsynsmyndighet och ingå ett säkerhetsskyddsavtal med den andra parten. Förslagen innebär även utökade befogenheter för tillsynsmyndigheterna. De föreslagna lagändringarna föreslås träda i kraft den 1 december 2021.

Sammanfattning av förslagen i lagrådsremissen

Nedan beskrivs kortfattat några av de föreslagna ändringarna i säkerhetsskyddslagen.

Skyldigheten att ingå säkerhetsskyddsavtal utvidgas

Kravet att ingå säkerhetsskyddsavtal gäller i dagsläget när säkerhetskänsliga verksamheter avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader. Kravet gäller dock inte i flera andra situationer. För det första gäller inte kravet på att ingå säkerhetsskyddavtal inför avtal, samverkan och samarbeten som inte sker i anslutning till offentlig upphandling eller annan anskaffning. För det andra finns det inte heller krav på säkerhetsskyddsavtal inför förfaranden då verksamhetsutövaren är leverantör och beställaren kan få tillgång till säkerhetskänslig verksamhet genom uppdraget. Vidare är det oklart om det krävs säkerhetsskyddsavtal när statliga myndigheter ingår avtal med varandra. Detta leder till att säkerhetskänslig verksamhet och säkerhetskänslig information i vissa fall inte har det skydd som krävs enligt säkerhetsskyddslagen.

I ljuset av detta föreslår regeringen att kravet på säkerhetsskyddsavtal som huvudregel ska gälla i alla situationer där säkerhetskänslig verksamhet exponeras. Det ska, enligt regeringen, vara risken för att en annan aktör får tillgång till säkerhetsskyddskvalificerade uppgifter i eller i övrigt säkerhetskänslig verksamhet som ska vara avgörande. Regeringens förslag är därför att en verksamhetsutövare som huvudregel bör vara skyldig att ingå ett säkerhetsskyddsavtal oavsett om denne är leverantör eller beställare och oavsett vilken typ av avtal, samverkan eller samarbete det är fråga om, under förutsättning att den andra aktören kan få tillgång till den säkerhetskänsliga verksamheten.

Krav på särskild säkerhetsskyddsbedömning och egen lämplighetsprövning

Det är verksamhetsutövaren som har ansvar för säkerhetsskyddet i den säkerhetskänsliga verksamheten. I detta ligger bl.a. att verksamhetsutövaren måste bedöma vilka skyddsvärda tillgångar som finns i organisationen. Detta är särskilt viktigt i de fall då verksamhetsutövaren avser utkontraktera en del av verksamheten eller genomföra annat förfarande som innebär att verksamheten exponeras för andra aktörer. Statliga myndigheter som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal är i vissa fall skyldiga att göra en särskild säkerhetsskyddsbedömning. I denna bedömning ska verksamhetsutövaren identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören kan få tillgång till genom förfarandet och som kräver säkerhetsskydd.

Regeringen anser att kravet på att göra en särskild säkerhetsskyddsbedömning bör utvidgas. De befintliga bestämmelserna i säkerhetsskyddsförordningen gäller bara för statliga myndigheters upphandlingar. Med hänsyn till att enskilda aktörer numera i relativt stor omfattning bedriver säkerhetskänslig verksamhet och att sådan verksamhet även bedrivs i kommuner och regioner, anser regeringen att även den typen av verksamhetsutövare bör omfattas av bestämmelser om särskild säkerhetsskyddsbedömning.

Regeringen föreslår även en utvidgning av vilka typer av förfaranden som ska omfattas av kraven på särskild säkerhetsskyddsbedömning. Regeringen förslag innebär att kravet ska utvidgas till att inte enbart gälla i upphandlingssituationer, utan vid alla slags avtal, samarbeten och samverkan som den säkerhetskänsliga verksamheten ingår. Regeringens förslag går ut på att kravet på säkerhetsskyddsbedömning ska gälla under samma förutsättningar som kravet på säkerhetsskyddsavtal. Alla förfaranden som innebär krav på säkerhetsskyddsavtal kan, enligt regeringen, potentiellt medföra negativa konsekvenser för Sveriges säkerhet och det är därvid inte avgörande var uppgifter t.ex. förvaras, även om sårbarheterna typiskt sett kan vara större när utomstående får tillgång till eller möjlighet att förvara uppgifter utanför verksamhetsutövarens lokaler. Med anledning av detta anser regeringen att reglerna om särskild säkerhetsskyddbedömning fullt ut bör kopplas till kravet på att ingå säkerhetsskyddsavtal.

I tillägg till ovan anser regeringen att ett uttryckligt krav på lämplighetsprövning bör införas. Enligt regeringen förekommer det att verksamhetsutövare inte gör någon analys av om en utkontraktering är lämplig från säkerhetsskyddssynpunkt. Det förekommer även att analysen som utförs är bristfällig. Det är enligt regeringen av yttersta vikt att fördelarna med utkontraktering ställs mot de risker för Sveriges säkerhet som förfarandet kan innebära. I vissa fall kan riskerna, enligt regeringens bedömning, hanteras genom ett väl formulerat säkerhetsskyddsavtal. I andra fall kan riskerna inte ens genom ett optimalt säkerhetsskyddsavtal motverkas. I dessa fall är utkontraktering inte lämpligt från säkerhetsskyddsynpunkt och bör därför inte genomföras. Syftet med lämplighetsprövningen är att klarlägga om den aktuella utkontrakteringen kan leda till skadekonsekvenser på nationell nivå och utmynna i en bedömning av om förfarandet är lämpligt ur ett säkerhetsskyddsperspektiv.

En utvidgad skyldighet att samråda och förbudsmöjlighet

Om lämplighetsprövningen leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt, ska verksamhetsutövaren i vissa fall vara skyldig att samråda med tillsynsmyndigheten innan den inleder förfarandet. Samrådsskyldighet ska föreligga om det planerade förfarandet innebär att den andra aktören kan få tillgång till

  1. säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller
  2. annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Som skäl till den föreslagna ändringen anges att utkontraktering av säkerhetskänslig verksamhet och liknande förfaranden kan innebära stora risker för Sveriges säkerhet. Vilka åtgärder som bör vidtas för att skydda känsliga uppgifter eller verksamheter kan vara en komplex bedömning. Det finns därför starka skäl för att ställa krav på verksamhetsutövare att, utöver att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning, i vissa fall samråda med en utpekad myndighet innan ett sådant förfarande inleds.

Regeringen föreslår även att tillsynsmyndigheten ska få förelägga verksamhetsutövare att vidta åtgärder enligt säkerhetsskyddslagen. Om ett beslut om föreläggande inte följs eller om tillsynsmyndigheten bedömer att det planerade förfarandet är olämpligt från säkerhetsskyddssynpunkt ska tillsynsmyndigheten få förbjuda den planerade utkontrakteringen. Förslaget är en utvidgning av de föreskrifter som redan finns i säkerhetsskyddsförordningen avseende förbud i vissa fall vid statliga upphandlingar.

Möjlighet att ingripa i efterhand

För att ytterligare stärka skyddet för Sveriges säkerhet föreslår regeringen att tillsynsmyndigheten ska få besluta om förelägganden mot verksamhetsutövare och den andra aktören i förfarande för att förhindra skada för Sveriges säkerhet i de fall en pågående utkontraktering är olämplig från säkerhetsskyddssynpunkt.  Säkerhetsskyddslagen innehåller i dagsläget inga skarpa verktyg som tillsynsmyndigheten kan använda i pågående avtalsförhållanden. Beslut om föreläggande ska enligt regeringens förslag kunna förenas med vite.

Kort om säkerhetsskydd

Vad är säkerhetsskydd?

Säkerhetsskydd är förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. En verksamhet är säkerhetskänslig om den är av betydelse för Sveriges säkerhet eller om den omfattas av ett internationellt åtagande om säkerhetsskydd som är förpliktande för Sverige. Uttrycket ”Sveriges säkerhet” tar sikte på förhållanden av grundläggande betydelse för Sverige.

Säkerhetsskydd innebär även skydd av säkerhetsskyddsklassificerade uppgifter. Säkerhetsskyddsklassificerade uppgifter är uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), eller uppgifter som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig. Till skillnad från skyddet av säkerhetskänslig verksamhet ska säkerhetsskyddet för uppgifter även skydda mot andra händelser än brottsliga sådana. Det kan exempelvis handla om att uppgifterna på grund av misstag, bristande rutiner eller olyckshändelse sprids, förstörs eller förvanskas utan att det är fråga om ett brott.

Vad är en säkerhetsskyddsanalys?

I en säkerhetsskyddsanalys utreder verksamheten vad som ska skyddas, mot vilka hot och på vilket sätt. Säkerhetsskyddsanalysen ska visa vilka säkerhetsskyddsåtgärder som behövs. Åtgärderna delas in i informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Vad är en särskild säkerhetsskyddsbedömning och lämplighetsprövning?

En särskild säkerhetsskyddsbedömning och lämplighetsprövning ska i dagsläget utföras då en verksamhetsutövare avser överlåta:

  1. hela eller någon del av den säkerhetskänsliga verksamheten, eller
  2. egendom som har betydelse för Sveriges säkerhet eller ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

Syftet med den särskilda säkerhetsskyddsbedömningen är att identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som förvärvaren kan få tillgång till och som kräver säkerhetsskydd. Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska verksamhetsutövaren pröva om överlåtelsen är lämplig från säkerhetsskyddssynpunkt. Dessa bedömningar ska dokumenteras.

Vad är ett säkerhetsskyddsavtal?

En grundläggande princip inom säkerhetsskyddet är att säkerhetskänslig verksamhet ska ha samma skydd oavsett var och hur den bedrivs. För att uppfylla denna princip ska den som bedriver säkerhetskänslig verksamhet ingå ett säkerhetsskyddsavtal med en leverantör innan leverantören engageras i verksamheten. Kravet gäller för statliga myndigheter, kommuner och regioner som är verksamhetsutövare och som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader, under förutsättning att:

  • det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
  • upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Vilka är tillsynsmyndigheterna?

Vilka som är tillsynsmyndigheter framgår av 7 kap 1 § säkerhetsskyddsförordningen. För offentlig sektor är det försvarsmakten och säkerhetspolisen som är tillsynsmyndigheter. För övriga sektorer är Affärsverket, Transportstyrelsen, Post- och telestyrelsen och länsstyrelserna tillsynsmyndigheter inom de respektive områden som anges i säkerhetsskyddsförordningen. Försvarsmakten och säkerhetspolisen får emellertid även utövar tillsyn inom dessa ansvarsområden, förutsatt att den som har ansvar för tillsynen underrättas om detta.