Den säkerhetsskyddslag som trädde i kraft 2019 innebar ett lyft för Sveriges säkerhet. Behovet att förstärka rådande lagstiftning har dock diskuterats efter, bland annat, flera uppmärksammade händelser där verksamhetsutövare av stor betydelse för Sveriges säkerhet uppvisat ett svagt säkerhetsskydd.
Nyligen tog Riksdagen ställning till propositionen Ett starkare skydd för Sveriges säkerhet (2020/21:194). Detta innebär att ändringar i tre olika lagar implementeras den 1 december. För majoriteten av organisationer är det ändringarna i säkerhetsskyddslagen (2018:585) och den nya säkerhetsskyddsförordningen (2021:955) som är viktiga att observera. Vi redogör här för de huvudsakliga ändringarna, men rekommenderar alla verksamhetsutövare att läsa den nya förordningen, ändringarna i säkerhetsskyddslagen samt myndigheternas föreskrifter.
Säkerhetsskyddschefens och dennes roll
Säkerhetsskyddschefens roll är att leda och samordna säkerhetsskyddsarbetet. Säkerhetsskyddschefen innehar också det viktiga ansvaret att kontrollera att verksamheten bedrivs i enlighet med lagen och föreskrifter. Det förtydligas nu även i lagen att all verksamhet som omfattas av säkerhetsskyddslagen (2018:585) ska utse en säkerhetskyddschef, om det inte är uppenbart obehövligt. Det klargörs också att säkerhetsskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet.
Detta tillägg kommer av att brister identifierats inom flera organisationer avseende kommunikationen mellan säkerhetsfunktionen och ledningen.
Säkerhetsskyddsavtal, säkerhetsskyddsbedömningar och lämplighetsprövningar
Säkerhetsskyddsavtal behöver nu upprättas i fler situationer än tidigare. Lagändringen innebär att tydligare krav ställs på verksamhetsutövare att upprätta säkerhetsskyddsavtal andra aktörer som, till följd av kontakt med organisationen genom exempelvis avtal eller samarbete, kan få tillgång till säkerhetsskyddsklassificerad uppgift eller motsvarande säkerhetskänslig verksamhet.
För att ett sådant säkerhetsskyddsavtal ska vara möjligt måste verksamhetsutövaren först genomför en säkerhetsskyddsbedömning och sedan pröva lämpligheten i förfarandet. Den särskilda säkerhetsskyddsbedömningen syftar till att identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som förvärvaren kan få tillgång till och som kräver säkerhetsskydd.
Tillsynsmyndigheterna
Den nya säkerhetsskyddsförordningen (2021:955) redogör för den nya tillsynsmyndighetsstrukturen. Sammantaget utgör nu Försvarsmakten, Säkerhetspolisen, Svenska Kraftnät, Transportstyrelsen, Post- och telestyrelsen, Försvarets materielverk, Finansinspektionen, Statens energimyndighet, Strålsäkerhetsmyndigheten samt fyra Länsstyrelser tillsynsmyndigheter. Många verksamheter har därmed fått en ny tillsynsmyndighet och lagändringen kräver att verksamhetsutövare nu samråder med sin tillsynsmyndighet vid flertalet tillfällen.
Dessa tillsynsmyndigheter har även fått befogenhet att utfärda förelägganden om administrativ sanktionsavgift baserat på åtta typer av överträdelser kring säkerhetsskyddet.
Länsstyrelsen i Stockholms län, Länsstyrelsen i Skåne län, Länsstyrelsen i Västra Götalands län och Länsstyrelsen i Västerbottens län utgör tillsynsmyndighet för kommuner och regioner. För en full redogörelse av den nya tillsynsmyndighetsstrukturen, se den nya säkerhetsskyddsförordningen (2021:955).
Vad bör våra kunder som bedriver säkerhetskänslig verksamhet göra?
• Gör er införstådda i den nya säkerhetsskyddsförordningen (2021:955), ändringarna i säkerhetsskyddslagen samt nya föreskrifter. Dessa ställer nu högre krav på verksamhetsutövare.
• Se över behovet av en säkerhetsskyddschef. Om detta inte är uppenbart obehövligt ska en sådan tillsättas direkt underställd chefen för verksamheten.
• Vid alla upphandlingar, avtal, samverkan eller samarbeten (förfaranden) med annan aktör som genom dessa kan få tillgång till säkerhetskyddsklassificerade uppgifter eller annan säkerhetskänslig verksamhet ska säkerhetsskyddsavtal upprättas.
• För att möjliggöra ett säkerhetsskyddsavtal måste verksamhetsutövaren först genomföra en särskild säkerhetsskyddsbedömning för att identifiera vilka säkerhetsskyddsklassificerade uppgifter som den aktören kan få tillgång till och som kräver säkerhetsskydd. Verksamhetsutövaren ska också pröva om förfarandet är lämpligt.
• Se över de nya tillsynsmyndighetsförhållandena i den nya säkerhetskyddsförordningen och anmäl om ni bedriver säkerhetskänslig verksamhet.
Vi på 2Secures tjänsteområde för samhällsskydd och beredskap står redo att hjälpa er navigera dessa ändringar. Med omfattande erfarenhet och kompetens inom säkerhetsskydd kan vi säkerställa att er organisation agerar i enlighet med säkerhetsskyddslagen och på så sätt värnar Sveriges säkerhet.