Ny lag om säkerhetsskydd i riksdagen och dess myndigheter
Framställning 2018/19:RS6
Framställning till riksdagen 2018/19:RS6
Ny lag om säkerhetsskydd i riksdagen och dess myndigheter
Sammanfattning
Riksdagen antog i maj 2018 en ny säkerhetsskyddslag som ersätter den nuvarande säkerhetsskyddslagen (1996:627). Den nya säkerhetsskyddslagen (2018:585) träder i kraft den 1 april 2019.
I framställningen föreslås att lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter ersätts av en ny lag om säkerhetsskydd i riksdagen och dess myndigheter. Förslaget innebär att de ändringar som bedöms nödvändiga med anledning av den nya säkerhetsskyddslagen förs in den nya lagen. Det är främst fråga om införande av begrepp som är centrala för säkerhetsskyddslagstiftningen: säkerhetskänslig verksamhet, säkerhetsskyddsklassificerade uppgifter, säkerhetsskyddsåtgärder och säkerhetsskyddsanalys. Övriga bestämmelser förs över till den nya lagen.
Vidare föreslås en följdändring i säkerhetsskyddslagen.
Den nya lagen och följdändringen i säkerhetsskyddslagen föreslås träda i kraft den 1 april 2019.
1
2018/19:RS6
2
2018/19:RS6
1 Förslag till riksdagsbeslut
Riksdagen antar riksdagsstyrelsens förslag till
1.lag om säkerhetsskydd i riksdagen och dess myndigheter,
2.lag om ändring i säkerhetsskyddslagen (2018:585).
Stockholm den 12 december 2018
Andreas Norlén
Ingvar Mattson
Följande ledamöter har deltagit i beslutet: Andreas Norlén, ordförande, Anders Ygeman (S), Tobias Billström (M), Annelie Karlsson (S), Hans Wallmark (M), Mattias Karlsson i Norrhult (SD), Jonas Eriksson (MP), Ulrika Heie (C), Mia Sydow Mölleby (V), Jessika Roswall (M) och Per Ramhorn (SD).
3
2018/19:RS6
2 Lagtext
2.1Förslag till lag om säkerhetsskydd i riksdagen och dess myndigheter
Härigenom föreskrivs följande.
Tillämpningsområde
1 § Denna lag gäller i verksamhet vid riksdagen och vid följande myndigheter under riksdagen:
1.Riksdagsförvaltningen,
2.Riksbanken,
3.Riksdagens ombudsmän,
4.Riksrevisionen,
5.Partibidragsnämnden,
6.Riksdagens arvodesnämnd,
7.Statsrådsarvodesnämnden,
8.Nämnden för prövning av statsråds och statssekreterares övergångsrestriktioner,
9.Nämnden för lön till riksdagens ombudsmän och riksrevisorerna,
10.Riksdagens överklagandenämnd,
11.Valprövningsnämnden, och
12.Riksdagens ansvarsnämnd.
Definitioner
2 § Med säkerhetskänslig verksamhet avses verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.
Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.
Utformningen av säkerhetsskyddet
3 § Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.
4
| 2 LAGTEXT | 2018/19:RS6 |
Med utgångspunkt i analysen ska myndigheten planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.
Myndigheten ska kontrollera säkerhetsskyddet i den egna verksamheten och i övrigt vidta de åtgärder som krävs enligt denna lag och enligt säkerhetsskyddslagen (2018:585) i tillämpliga delar.
4 § Säkerhetsskyddet ska utformas med beaktande av enskildas rätt att enligt tryckfrihetsförordningen ta del av allmänna handlingar och med beaktande av enskildas integritet.
Vid utformningen av säkerhetsskyddet i riksdagen och Riksdagsförvaltningen ska öppenhet gentemot allmänheten och företrädare för massmedierna särskilt beaktas.
Säkerhetsskyddsåtgärder
Informationssäkerhet
5 § Informationssäkerhet ska
1.förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
2.förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
6 § Vid utformningen av informationssäkerheten ska behovet av skydd för informationssystem särskilt beaktas.
Fysisk säkerhet
7 § Fysisk säkerhet ska
1.förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, och
2.förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i 1.
8 § Den fysiska säkerheten ska utformas så att enskildas rätt att röra sig fritt inte inskränks mer än nödvändigt.
Bestämmelser om allmänhetens tillträde till riksdagens kammare, utskott och EU-nämnd finns i regeringsformen, i riksdagsordningen och i lagen (1988:144) om säkerhetskontroll i riksdagens lokaler.
Bestämmelser som möjliggör förbud mot tillträde till vissa byggnader, andra anläggningar och områden finns i skyddslagen (2010:305).
5
| 2018/19:RS6 | 2 LAGTEXT |
Personalsäkerhet
9 § Personalsäkerhet ska
1.förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar
ien verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och
2.säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
Säkerhetsskyddsklassificering, säkerhetsprövning och säkerhetsintyg
10 § För riksdagen och de myndigheter som anges i 1 § finns bestämmelser om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg i säkerhetsskyddslagen (2018:585).
11 § Riksdagsförvaltningen beslutar om registerkontroll och utfärdar säkerhetsintyg enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen (2018:585) för personer som deltar i
1.riksdagens eller Riksdagsförvaltningens verksamhet i annan egenskap än riksdagsledamot, och
2.verksamhet som de myndigheter som anges i 1 § 5–12 bedriver. Riksbanken, Riksdagens ombudsmän och Riksrevisionen beslutar om
registerkontroll och utfärdar säkerhetsintyg enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen för personer som deltar i respektive myndighets verksamhetsområde.
Säkerhetsskyddsavtal
12 § Om en myndighet som anges i 1 § avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader, ska den se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 3 § ska tillgodoses av leverantören om
1.det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2.upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Myndigheten ska kontrollera att leverantören följer säkerhetsskyddsavtalet.
Information och utbildning
13 § De myndigheter som anges i 1 § ska var och en inom respektive verksamhetsområde se till att de som berörs av bestämmelserna i denna lag informeras om innehållet i lagen och ges utbildning i frågor om säkerhetsskydd.
6
| 2 LAGTEXT | 2018/19:RS6 |
Bemyndiganden
14 § Av 7 § lagen (2011:745) med instruktion för Riksdagsförvaltningen framgår att Riksdagsförvaltningen får meddela föreskrifter inom sitt verksamhetsområde.
Övriga myndigheter som anges i 1 § får meddela de närmare föreskrifter inom sitt verksamhetsområde som behövs för tillämpning av
1.denna lag, och
2.säkerhetsskyddslagens (2018:585) bestämmelser om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg.
1.Denna lag träder i kraft den 1 april 2019.
2.Genom lagen upphävs lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter.
3.Beslut om registerkontroll enligt 14 § i säkerhetsskyddslagen (1996:627) ska, om inte annat beslutas, motsvara ett beslut om placering i säkerhetsklass 3 enligt 3 kap. 8 § säkerhetsskyddslagen (2018:585), dock längst till dess att ett nytt beslut om säkerhetsklass enligt den nya lagen meddelas. Ett sådant beslut ska meddelas senast den 31 december 2024.
7
| 2018/19:RS6 | 2 LAGTEXT |
2.2Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)
Härigenom föreskrivs att 1 kap. 3 § säkerhetsskyddslagen (2018:585) ska ha följande lydelse.
| Nuvarande lydelse | Föreslagen lydelse |
3 §
För riksdagen och dess myndigheter gäller endast bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. I övrigt gäller lagen (2006:128) om säkerhetsskydd för riksdagen och dess myndigheter.
Regeringen får i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet meddela föreskrifter om undantag från andra bestämmelser i lagen än de som anges i första stycket.
För riksdagen och dess myndigheter gäller endast bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. I övrigt gäller lagen (2019:000) om säkerhetsskydd i riksdagen och dess myndigheter.
Regeringen får i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet meddela föreskrifter om undantag från andra bestämmelser i lagen än de som anges i första stycket.
Denna lag träder i kraft den 1 april 2019.
8
2018/19:RS6
3 Ärendet och dess beredning
Riksdagen uppmanade i juni 2018 (bet. 2017/18:KU40, rskr. 2017/18:420) riksdagsstyrelsen att se över bestämmelserna om säkerhetsskydd i riksdagen och dess myndigheter och föreslå de ändringar som bedömdes nödvändiga med anledning av riksdagens beslut att anta en ny säkerhetsskyddslag (2018:585) som ersätter den nuvarande säkerhetsskyddslagen (1996:627).
Inom Riksdagsförvaltningen har en promemoria med förslag till en ny lag om säkerhetsskydd i riksdagen och dess myndigheter tagits fram. Promemorians lagförslag finns i bilaga 1.
Förslagen i promemorian har remissbehandlats. En förteckning över remissinstanserna finns i bilaga 2. Remissvaren finns tillgängliga hos Riksdagsförvaltningen (dnr 2058-2017/18).
9
2018/19:RS6
4 En ny säkerhetsskyddslag som bara delvis gäller riksdagen och dess myndigheter
4.1 Utgångspunkter
I maj 2018 beslutades om en ny säkerhetsskyddslag (prop. 2017/18:89, bet. 2017/18:JuU21, rskr. 2017/18:289) som ersätter den nuvarande säkerhetsskyddslagen (1996:627). Den nya säkerhetsskyddslagen (2018:585) träder i kraft den 1 april 2019. Det är bara bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. i den nya lagen som kommer att gälla för riksdagen och dess myndigheter. I övrigt gäller lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter (i fortsättningen benämnd 2006 års lag).
Vissa följdändringar gjordes i 2006 års lag när den nya säkerhetsskyddslagen beslutades. Den nya säkerhetsskyddslagen medför emellertid behov av ytterligare ändringar och anpassningar av de lagregler som styr säkerhetsskyddet i riksdagen och dess myndigheter.
I avsnitt 4.2 görs en genomgång av hur den nya säkerhetsskyddslagen påverkar 2006 års lag.
4.2 Vad innebär den nya säkerhetsskyddslagen?
4.2.1 Ett reformerat säkerhetsskydd
Säkerhetsskydd innebär förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott. Kraven på säkerhetsskyddet har förändrats genom utvecklingen i omvärlden och inom området informationsteknik, ökningen av säkerhetskänslig verksamhet som bedrivs i enskild regi och en ökad internationell samverkan. Den nya säkerhetsskyddslagen syftar till att stärka säkerhetsskyddet och innehåller krav på åtgärder för att skydda uppgifter som är av betydelse för Sveriges säkerhet eller som ska skyddas enligt ett internationellt åtagande om säkerhetsskydd. Lagen syftar också till att förbättra skyddet av annan säkerhetskänslig verksamhet, t.ex. samhällsviktiga informationssystem. Lagen ska gälla i både allmän och enskild verksamhet.
Förutsättningarna för säkerhetsskyddet har förändrats på många sätt under den tid som säkerhetsskyddslagen (1996:627), i fortsättningen benämnd 1996 års lag, har varit i kraft. Lagen har i första hand varit inriktad på att skydda rikets säkerhet, vilket i hög grad förknippas med framför allt militära förhållanden. Främmande staters underrättelseverksamhet har de senaste decennierna breddats mot forskning och utveckling inom civila områden samt mot politiska frågor och information som rör samhällsviktiga system. It-angrepp i olika former betraktas som ett av de allvarligaste hoten. Samtidigt kvarstår
10
| 4 EN NY SÄKERHETSSKYDDSLAG SOM BARA DELVIS GÄLLER RIKSDAGEN OCH DESS MYNDIGHETER | 2018/19:RS6 |
underrättelsehoten mot militär verksamhet och mot information av betydelse för försvaret av Sverige.
Dagens säkerhetspolitiska hot, eller hot som är av sådan karaktär att de kan få säkerhetspolitiska konsekvenser, är ofta gränsöverskridande, icke-militära och utgår inte sällan från icke-statliga aktörer. Exempel på sådana hot är internationell terrorism och andra typer av grov gränsöverskridande brottslighet, informations- och cybersäkerhetshot, spridning av massförstörelsevapen samt framställning och transport av vapen, komponenter och teknologi. Samhällsutvecklingen innebär nya krav på och förutsättningar för säkerhetsskyddet.
1996 års säkerhetsskyddslag erbjuder främst ett skydd för hemliga uppgifter, dvs. uppgifter som omfattas av sekretess till skydd för rikets säkerhet. Skyddet för hemliga uppgifter ska även inkludera uppgifter som förekommer i enskilt bedrivna verksamheter eller som omfattas av ett folkrättsligt åtagande om säkerhetsskydd. En ny säkerhetsskyddslag behöver också omfatta samtliga verksamheter som uppfyller kriteriet att vara av betydelse för Sveriges säkerhet och möjliggöra krav på säkerhetsskydd för t.ex. flygplatser och andra byggnader eller anläggningar som enligt skyddslagen är skyddsobjekt.
Riksdagen och dess myndigheter omfattas endast i begränsad utsträckning av 1996 års lag. Den ordningen förs över till den nya lagen (1 kap. 3 §). Be- stämmelserna som kommer att gälla även för riksdagen utökas dock från bara säkerhetsprövning till att omfatta säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. Vidare anges att i övrigt gäller lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter.
4.2.2 Säkerhetskänslig verksamhet
I 1 kap. 1 § i den nya säkerhetsskyddslagen definieras säkerhetskänslig verksamhet som verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Bestämmelsen kommer inte att gälla för riksdagen och dess myndigheter. Någon motsvarighet finns inte i 2006 års lag.
4.2.3 Vad som avses med säkerhetsskydd
Med säkerhetsskydd avses enligt 1 kap. 2 § i den nya säkerhetsskyddslagen skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig. Med den nya lydelsen omfattas även enskilda verksamhetsutövare och inte bara myndigheter.
11
| 2018/19:RS6 | 4 EN NY SÄKERHETSSKYDDSLAG SOM BARA DELVIS GÄLLER RIKSDAGEN OCH DESS MYNDIGHETER |
| Bestämmelsen om vad som avses med säkerhetsskydd och säkerhets- | |
| skyddsklassificerade uppgifter kommer inte att gälla för riksdagen och dess | |
| myndigheter. En motsvarande bestämmelse om vad som avses med säkerhets- | |
| skydd och vad som skyddas finns dock i 3 § i 2006 års lag. |
4.2.4 Säkerhetsskyddsåtgärder
Indelningen i tre säkerhetsskyddsåtgärder – informationssäkerhet, fysisk säkerhet och personalsäkerhet – ska bestå i den nya säkerhetsskyddslagen. De olika säkerhetsskyddsåtgärderna anges i 2 kap. 2–4 §§.
Informationssäkerhet ska dels förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, dels förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
Fysisk säkerhet ska förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs. Åtgärden ska också förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt.
Personalsäkerhet ska förebygga att personer som inte är pålitliga ur säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av annan anledning är säkerhetskänslig, samt säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
Bestämmelserna om säkerhetsskyddsåtgärder kommer inte att gälla för riksdagen och dess myndigheter, men en motsvarande bestämmelse om säkerhetsskyddsåtgärder finns i 4 § i 2006 års lag.
4.2.5 Det införs nya bestämmelser om säkerhetsskyddsklassificering
I 2 kap. 5 § i den nya säkerhetsskyddslagen finns bestämmelser om säkerhetsskyddsklassificering. Säkerhetsskyddsklassificerade uppgifter ska delas in i fyra nivåer utifrån den skada för Sveriges säkerhet som kan uppstå om uppgifterna röjs. Vilken skyddsnivå som en uppgift ska ha ska avgöras genom en hypotetisk skadebedömning. De fyra klasserna ska benämnas kvalificerat hemlig, hemlig, konfidentiell och begränsat hemlig. Indelningen i säkerhetsskyddsklasser är grunden för utformningen av den del av säkerhetsskyddsåtgärderna informationssäkerhet, fysisk säkerhet och personalsäkerhet som tar sikte på skyddet av säkerhetsskyddsklassificerade uppgifter.
Säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt säkerhetsskyddsåtagande ska, om de inte redan av en annan stat eller mellanfolklig organisation har klassificerats, på motsvarande sätt delas in i en säkerhetsskyddsklass utifrån den skada som ett röjande kan medföra för Sveriges förhållande till en annan stat eller mellanfolklig organisation.
12
| 4 EN NY SÄKERHETSSKYDDSLAG SOM BARA DELVIS GÄLLER RIKSDAGEN OCH DESS MYNDIGHETER | 2018/19:RS6 |
I den gällande säkerhetsskyddslagen finns inte några särskilda regler om säkerhetsskyddsklassificering för uppgifter och handlingar. Däremot finns bestämmelser i säkerhetsskyddsförordningen (1996:633) som anger att hemliga uppgifter kan ha en synnerlig betydelse för rikets säkerhet och att ett röjande av en hemlig uppgift kan medföra enbart ett ringa men. Till dessa nivåskillnader kopplas olika säkerhetsskyddsåtgärder som t.ex. placering i säkerhetsklass och inventeringsintervall för hemliga handlingar.
I propositionen bedöms att det finns såväl ett utrymme för, som ett behov av, att klassificera informationen utifrån hur allvarlig en skada kan bli för Sveriges säkerhet (dvs. skyddsvärde) vid ett eventuellt röjande av informationen.
När det gäller säkerhetsskyddsklassificering av information anser regeringen att systemet för klassificering av säkerhetsskyddsklassificerade uppgifter bör utformas som ett kompletterade system i förhållande till den informationsklassificering som redan görs. Enligt regeringen är det naturligt då klassificering av säkerhetsskyddsklassificerade uppgifter syftar till att motverka skada för Sveriges säkerhet, medan klassificering av information görs för att undvika konsekvenser för framför allt den egna organisationen. Därför bör klassificering av information innebära att verksamhetsutövare först klassificerar informationen med ledning i bl.a. riskanalyser i förhållande till konsekvenser för den egna verksamheten och därefter klassificerar sådan information som kan ha skadeverkningar för Sveriges säkerhet enligt bestämmelserna i säkerhetsskyddslagen.
Bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 § nya säkerhetsskyddslagen ska gälla även för riksdagen och dess myndigheter.
4.2.5 Säkerhetsprövning
Bestämmelser om säkerhetsprövning finns i 3 kap. i den nya säkerhetsskyddslagen. Huvuddragen i det nuvarande systemet för personalkontroll, knutet till de krav som befattningen eller verksamheten ställer i det enskilda fallet, behålls. Säkerhetsprövningen ska klarlägga om en person kan antas vara lojal mot de intressen som skyddas i lagen och i övrigt är pålitlig från säkerhetssynpunkt. Vid säkerhetsprövningen ska beaktas sådana omständigheter som kan antas innebära sårbarheter i säkerhetshänseende.
De olika momenten vid säkerhetsprövning har gjorts tydligare. Säkerhetsprövningen förutsätter en grundutredning som ska kompletteras med registerkontroll och särskild personutredning. Med grundutredning avses uppgifter som hämtas in om personliga förhållanden av betydelse för säkerhetsprövningen. Innebörden av registerkontroll och särskild personutredning anges i lagen.
Enligt propositionen handlar säkerhetsprövning ytterst om att bedöma om en person har tillräckliga förutsättningar och personlig förmåga att genom anställning eller på annat sätt delta i en säkerhetskänslig verksamhet. Det är en fråga om en bedömning som görs utifrån ett riskreduceringsperspektiv, dvs. i
13
| 2018/19:RS6 | 4 EN NY SÄKERHETSSKYDDSLAG SOM BARA DELVIS GÄLLER RIKSDAGEN OCH DESS MYNDIGHETER |
| syfte att undvika risker som inte kan accepteras i den säkerhetskänsliga verk- | |
| samheten. | |
| I propositionen hänvisas till Säkerhetspolisens vägledning om säkerhets- | |
| prövning, enligt vilken frågor kan behöva ställas om bl.a. umgänge, tidigare | |
| verksamhet, ekonomi, bisysslor, personliga egenskaper samt intresse- | |
| konflikter. | |
| Det viktigaste momentet i säkerhetsprövningen är den del som syftar till en | |
| tillräcklig personkännedom. Viktiga inslag kan då vara intervjuer eller annan | |
| form av uppgiftslämnande från den som prövningen avser, kontroll av intyg | |
| och betyg och inhämtande av referenser. Denna del av säkerhetsprövningen | |
| benämns i propositionen som grundutredning. | |
| I den gällande säkerhetsskyddslagen sägs att en säkerhetsprövning får göras | |
| under pågående anställning eller annat pågående deltagande i verksamheten. I | |
| propositionen föreslås att en sådan uppföljning i stället ska göras under den tid | |
| som deltagandet i den säkerhetskänsliga verksamheten pågår. Detta | |
| uppföljningsansvar innefattar även en kontinuerlig bevakning av uppgifter | |
| som tillförs registren efter den inledande säkerhetsprövningen. Det är därför | |
| viktigt att Säkerhetspolisen får kännedom om när grund för att utföra | |
| kontrollen upphör, t.ex. vid avslutad anställning eller om den kontrollerade | |
| inte anställs. | |
| Registerkontroll ska föregås av ett beslut om placering i säkerhetsklass. | |
| Något särskilt beslut om registerkontroll behövs därför inte. Om det finns | |
| särskilda skäl får registerkontroll göras utan föregående placering i säkerhets- | |
| klass. Bestämmelsen motsvarar 14 § i nu gällande lag (skydd mot terrorism). | |
| Riksdagen och dess myndigheter ska även fortsättningsvis besluta om | |
| placering i säkerhetsklass när det gäller riksdagens förvaltningsområde. Regle- | |
| ringen i 1996 års lag om att Riksdagsförvaltningen bestämmer om placering i | |
| säkerhetsklass och om registerkontroll för anställda efter samråd med | |
| krigsdelegationens sekreterare tas bort eftersom frågan rör interna angelägen- | |
| heter för riksdagen och dess myndigheter. | |
| Bestämmelserna om säkerhetsprövning i 3 kap. i den nya säkerhetsskydds- | |
| lagen ska gälla även för riksdagen och dess myndigheter. | |
| Riksdagsledamöter undantas från kravet på säkerhetsprövning liksom de | |
| gör enligt nu gällande säkerhetsskyddslag. Undantaget gäller endast vid ut- | |
| övandet av uppdraget som riksdagsledamot. Om en ledamot deltar i någon | |
| annan säkerhetskänslig verksamhet ska han eller hon säkerhetsprövas. |
4.2.6 Utfärdande av säkerhetsintyg
Det finns krav i folkrättsligt bindande säkerhetsskyddsåtaganden som Sverige har ingått att en behörig svensk myndighet ska kunna utfärda säkerhetsintyg för personer och leverantörer på begäran av en annan stat eller mellanfolklig organisation. Det gäller t.ex. rådets säkerhetsbestämmelser och i Sveriges avtal med Nato från 1994. I den nuvarande säkerhetsskyddslagstiftningen saknas
14
| 4 EN NY SÄKERHETSSKYDDSLAG SOM BARA DELVIS GÄLLER RIKSDAGEN OCH DESS MYNDIGHETER | 2018/19:RS6 |
bestämmelser om hur sådana intyg ska utfärdas, vad som krävs inför ett utfärdande och vilken myndighet som utfärdar intygen. Det finns enligt regeringen inget hinder mot att säkerhetsintyg utfärdas enligt det nuvarande systemet (15 och 18 §§ säkerhetsskyddslagen) men regleringen är inte tillräcklig.
Intyget ska avse en pålitlighetsbedömning när det gäller att hantera säkerhetsskyddsklassificerade uppgifter upp till och med en viss nivå. Ett säkerhetsintyg ska få utfärdas i två olika typsituationer. Den första situationen är när ett intyg behövs för säkerhetskänslig verksamhet som utgör en del av internationell samverkan mellan Sverige och ett annat land eller en mellanfolklig organisation, t.ex. ett internationellt säkerhetskänsligt materielprojekt som Sverige deltar i. Den andra situationen är när ett intyg behövs för deltagande i ett annat lands eller en mellanfolklig organisations verksamhet vilken till sin natur närmast motsvarar säkerhetskänslig verksamhet. Ett exempel kan vara om en person som är bosatt i Sverige söker anställning i ett annat land där det för anställning krävs ett säkerhetsintyg på en grund som motsvarar förutsättningarna i den svenska säkerhetsskyddslagstiftningen.
Säkerhetsintyg för personer kommer att i huvudsak utfärdas för personer som redan är placerade i säkerhetsklass vid en myndighet eller leverantör. I de undantagsfall då personen inte redan är placerad i säkerhetsklass måste personen säkerhetsprövas innan ett intyg kan utfärdas, vilket framgår av den nya säkerhetsskyddslagen. Regeringen meddelar föreskrifter bl.a. om vilken myndighet som ska göra säkerhetsprövningen.
Av 6 kap. 3 § säkerhetsskyddsförordningen (2018:658) framgår att Regeringskansliet beslutar om registerkontroll, utfärdar intyg och lämnar underlag enligt 4 kap. 1, 2 och 4 §§ säkerhetsskyddslagen. Regeringskansliet får besluta att även andra myndigheter som anges i bilagan till förordningen ska utföra dessa uppgifter för personer som deltar i myndigheternas egen verksamhet.
Bestämmelserna om säkerhetsintyg i 4 kap. 1–3 §§ nya säkerhetsskyddslagen kommer att gälla för riksdagen och dess myndigheter. Säkerhetsskyddsförordningen gäller dock inte för riksdagen och dess myndigheter.
4.2.7 Kravet på att ingå säkerhetsskyddsavtal utvidgas
Skyldigheten att ingå säkerhetsskyddsavtal utvidgas enligt den nya säkerhetsskyddslagen (2 kap. 6 §). Statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 2 kap. 1 § ska tillgodoses av leverantören om det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller om upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Sådan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet kan ha ett starkt
15
| 2018/19:RS6 | 4 EN NY SÄKERHETSSKYDDSLAG SOM BARA DELVIS GÄLLER RIKSDAGEN OCH DESS MYNDIGHETER |
| skyddsvärde trots att fokus inte ligger på säkerhetsskyddsklassificerade upp- | |
| gifter. Det kan t.ex. gälla kärnkraftverk, flygplatser eller annan verksamhet | |
| som bedrivs vid skyddsobjekt. | |
| Utvidgningen av bestämmelsen till att även gälla upphandlingar och ingå- | |
| ende av ett avtal om varor, tjänster eller byggentreprenader som i övrigt avser | |
| säkerhetskänslig verksamhet innebär en skyldighet för verksamhetsutövarna | |
| att skydda uppgifter och informationssystem ur ett riktighets- och tillgänglig- | |
| hetsperspektiv. Förslaget medför t.ex. att en verksamhetsutövare som ska upp- | |
| handla programmeringstjänster för ett informationssystem som bedöms vara | |
| säkerhetskänsligt måste ta ställning till behovet av säkerhetsskydd när uppgift- | |
| ers riktighet och tillgänglighet är centrala förutsättningar för systemet. Utöver | |
| avtal som gäller varor, tjänster och byggentreprenader som direkt berör säker- | |
| hetskänslig verksamhet finns det enligt regeringens uppfattning också skäl att | |
| ställa krav på säkerhetsskydd när en leverantör kan få tillgång till säkerhets- | |
| känslig verksamhet utan att den avtalade tjänsten för den sakens skull gäller | |
| en säkerhetskänslig verksamhet. Det kan t.ex. vara fallet om en verksamhets- | |
| utövare ingår avtal med en leverantör som får tillgång till lokaler där säker- | |
| hetskänslig verksamhet bedrivs. | |
| Vidare ska skyldigheten att ingå säkerhetsskyddsavtal gälla även för en- | |
| skilda verksamhetsutövare som ingår avtal om varor, tjänster eller byggentre- | |
| prenader med utomstående leverantörer. I sådana situationer ska beslut om | |
| placering av tjänst eller annat deltagande i säkerhetsklass fattas av en myndig- | |
| het. | |
| Av propositionen framgår även att hänvisningen i 2 kap. 6 § till 1 § innebär | |
| att säkerhetsskyddet inte får göras mindre långtgående i ett säkerhetsskydds- | |
| avtal än vad som följer av lagen. Däremot kan ett säkerhetsskyddsavtal fylla | |
| funktionen att det preciserar säkerhetsskyddet hos leverantören för att passa | |
| den aktuella upphandlingen. | |
| Kravet på säkerhetsskyddsavtal ska gälla för uppgifter i säkerhetsskydds- | |
| klassen konfidentiell och uppåt samt vid i övrigt säkerhetskänslig verksamhet | |
| av motsvarande betydelse. Skyldighet att ingå säkerhetsskyddsavtal kommer | |
| inte att gälla för alla säkerhetsskyddsklassificerade uppgifter. Införandet av | |
| fyra säkerhetsskyddsklasser gör att olika skyddsåtgärder kan vidtas på ett mer | |
| differentierat sätt än i dag. Om en upphandling kan komma att beröra uppgifter | |
| som har klassificerats enligt den lägsta säkerhetsskyddsklassen, eller om den | |
| avser säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges | |
| säkerhet, torde det enligt propositionen finnas ett mindre behov av att ingå | |
| säkerhetsskyddsavtal med leverantörer. Detta är också i linje med hur | |
| motsvarande bestämmelser ser ut i andra länder. I propositionen anges vidare | |
| att utifrån den slutsatsen kan det även finnas företagsekonomiska skäl för att | |
| inte lägga kravet på en annan nivå för svenska aktörer. Detta gäller särskilt när | |
| den nya lagstiftningen även ska gälla enskilda verksamhetsutövare. Eftersom | |
| det kan vara befogat att säkerhetsskyddsavtal även får ingås i de fall då den | |
| säkerhetskänsliga verksamheten det är fråga om endast har klassificerats i |
16
| 4 EN NY SÄKERHETSSKYDDSLAG SOM BARA DELVIS GÄLLER RIKSDAGEN OCH DESS MYNDIGHETER | 2018/19:RS6 |
säkerhetsskyddsklassen begränsat hemlig har den nya paragrafen i säkerhetsskyddslagen utformats för att även möjliggöra säkerhetsskyddsavtal när uppgifter i den lägsta säkerhetsskyddsklassen omfattas.
Bestämmelsen om säkerhetsskyddsavtal kommer inte att gälla för riksdagen och dess myndigheter men en motsvarande bestämmelse om säkerhetsskyddsavtal finns i 8 § i 2006 års lag.
17
2018/19:RS6
5 Riksdagsstyrelsens överväganden och förslag
5.1Ny lag om säkerhetsskydd i riksdagen och dess myndigheter
5.1.1Det behövs en ny lag om säkerhetsskydd i riksdagen och dess myndigheter
Riksdagsstyrelsens förslag och bedömning: Lagen om säkerhetsskydd i riksdagen och dess myndigheter ersätts av en ny lag som innehåller de ändringar som är nödvändiga med anledning av den nya säkerhetsskyddslagen. Övriga bestämmelser förs över till den nya lagen.
I den nya lagen om säkerhetsskydd i riksdagen och dess myndigheter införs bestämmelser om vad som avses med säkerhetskänslig verksamhet, säkerhetsskydd och säkerhetsskyddsklassificerade uppgifter samt om säkerhetsskyddsåtgärderna: informationssäkerhet, fysisk säkerhet och personalsäkerhet. Begrepp som används i den nya lagen har inte någon annan innebörd än den som anges i säkerhetsskyddslagen.
Det införs inte några bestämmelser om tillsyn över riksdagens och dess myndigheters säkerhetsskydd i den nya lagen om säkerhetsskydd i riksdagen och dess myndigheter.
Promemorians förslag
Förslagen överensstämmer med riksdagsstyrelsens.
Remissinstanserna
Remissinstanserna tillstyrker förslagen, har inget att invända eller avstår från att lämna synpunkter.
Skälen för riksdagsstyrelsens förslag och bedömning
Det är enbart bestämmelserna om säkerhetsskyddsklassificering i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. 1–3 §§ den nya säkerhetsskyddslagen som ska gälla för riksdagen och dess myndigheter. I dessa bestämmelser används emellertid begrepp som beskrivs i andra bestämmelser i den nya lagen. Dessa sistnämnda bestämmelser ska inte gälla för riksdagen och dess myndigheter. Ett exempel är att den nya lagen enligt 1 kap. 1 § gäller för den som till någon del bedriver säkerhetskänslig verksamhet, dvs. verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Begreppet säkerhetskänslig verksamhet används i 3 kap. 1 § och 4 kap. 1 §. Ett annat exempel är definitionen av vad som avses med säkerhetsskydd i 1 kap. 2 §.
18
| 5 RIKSDAGSSTYRELSENS ÖVERVÄGANDEN OCH FÖRSLAG | 2018/19:RS6 |
Vidare används i 2 kap. 5 § om säkerhetsskyddsklassificering begreppet
säkerhetsskyddsklassificerade uppgifter som definieras i 1 kap. 2 § andra
stycket. Även definitionerna av säkerhetsskyddsåtgärderna i 2 kap. 2–4 §§ skiljer sig från de som i dag finns i 2006 års lag. För att bestämmelserna om säkerhetsskyddsklassificering, säkerhetsprövning och säkerhetsintyg ska kunna tillämpas på ett tillfredsställande sätt behöver således lagen om säkerhetsskydd i riksdagen och dess myndigheter ändras.
I propositionen som ligger till grund för den nya säkerhetsskyddslagen utvecklas vad som avses med säkerhetskänslig verksamhet, säkerhetsskydd och säkerhetsskyddsåtgärder (s. 36–53 och 67–75). Det saknas anledning för riksdagen och dess myndigheter att införa egna begrepp som avviker från dem som förekommer i den nya säkerhetsskyddslagen. Inte heller andra begrepp som används i den nya lagen om säkerhetsskydd i riksdagen och dess myndigheter är avsedda att ha någon annan innebörd än den som anges i säkerhetsskyddslagen.
Övriga bestämmelser i 2006 års lag (2 § 2 och 3, 5–7, 9 och 10 §§) förs över till den nya lagen i oförändrat skick eller med enbart små redaktionella ändringar.
I framställningen till 2006 års lag fördes resonemang om lagens tillämpningsområde (framst. 2005/06:RS1 s. 19). Där anfördes bl.a. följande om riksdagspartiernas kanslier.
På dessa kanslier arbetar personer som anställts av partierna för att biträda riksdagens ledamöter. Riksdagsförvaltningen har alltså inte något personalansvar för dem, och partikanslierna är inte en del av förvaltningen. Partikanslierna arbetar emellertid i lokaler som Riksdagsförvaltningen äger, och de använder datautrustning som är ansluten till nätverket inom riksdagen. Riksdagsförvaltningens verksamhetsområde omfattar således i viss utsträckning partikanslierna och deras personal. Detta innebär att de instrument som den nya lagen ger Riksdagsförvaltningen bör kunna användas i förhållande till partikanslierna. I praktiken innebär detta att Riksdagsstyrelsen kan meddela föreskrifter som gäller för partikanslierna. Kanslierna åläggs emellertid inga skyldigheter att självständigt vidta säkerhetsskyddsåtgärder, ansvaret för detta åvilar i stället Riksdagsförvaltningen.
Detta uttalande bedöms fortfarande gälla även för en ny lag om säkerhetsskydd i riksdagen och dess myndigheter.
På samma ställe i framställningen berördes även de ackrediterade företrädarna för massmedier som har rätt att vistas i riksdagens lokaler. Eftersom det inte är massmediernas verksamhet som ska skyddas av den nya lagen anfördes att lagen inte skulle gälla i deras verksamhet. Samma bedömning görs även i förhållande till den nya lagen om säkerhetsskydd i riksdagen och dess myndigheter.
I den nya säkerhetsskyddslagen finns även bestämmelser om tillsyn. Av 5 kap. 4 § framgår att den myndighet som regeringen bestämmer ska utöva tillsyn över säkerhetsskyddet hos myndigheter och andra som lagen gäller för. Denna bestämmelse gäller inte för riksdagen och dess myndigheter. Regeringen har tillsatt en särskild utredare som senast den 30 november 2018
19
| 2018/19:RS6 | 5 RIKSDAGSSTYRELSENS ÖVERVÄGANDEN OCH FÖRSLAG |
| bl.a. ska föreslå hur en ändamålsenlig tillsyn ska vara utformad (Utkontrakter- | |
| ing av säkerhetskänslig verksamhet, sanktioner och tillsyn, dir. 2017:32). I | |
| propositionen finns inget resonemang om frågan om tillsyn över riksdagens | |
| eller dess myndigheters säkerhetsskydd. Frågan om eventuell tillsyn över | |
| riksdagen och dess myndigheter behöver utredas och övervägas ytterligare | |
| innan något förslag kan lämnas i denna del. Det finns därför inte underlag för | |
| att nu ta ställning till behovet av sådana bestämmelser. Det kan dock finnas | |
| anledning för riksdagsstyrelsen att återkomma i frågan. |
5.1.2 Säkerhetsskyddsåtgärder
Riksdagsstyrelsens förslag: Den som bedriver säkerhetskänslig verksamhet enligt denna lag ska göra en säkerhetsskyddsanalys och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomsten av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.
Promemorians förslag
Förslaget överensstämmer med riksdagsstyrelsens.
Remissinstanserna
Flertalet remissinstanser tillstyrker förslaget, har inget att invända eller avstår från att lämna synpunkter. Regeringskansliet och Säkerhetspolisen anför att det skulle kunna övervägas om en rapporteringsskyldighet enligt 2 kap. 1 § tredje stycket säkerhetsskyddslagen (2018:585) bör införas. Säkerhetspolisen föreslår även att det införs en bestämmelse om att det ska finnas en säkerhetsskyddschef om det inte är uppenbart obehövligt.
Skälen för riksdagsstyrelsens förslag
I den nya säkerhetsskyddslagen anges vissa skyldigheter för den som bedriver säkerhetskänslig verksamhet, bl.a. att utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys), att planera och vidta de säkerhetsskyddsåtgärder som behövs samt att kontrollera, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet (2 kap. 1 §).
Enligt 2 § första stycket i den nu gällande lagen om säkerhetsskydd i riksdagen och dess myndigheter ska det säkerhetsskydd finnas som behövs med hänsyn till verksamhetens art, omfattning och övriga omständigheter. För att bedöma behovet måste en utredning göras. En sådan utredning innebär i praktiken en säkerhetsskyddsanalys. För att betona vikten av att en säkerhetsskyddsanalys verkligen genomförs bör det emellertid införas en bestämmelse med ett sådant krav. Bestämmelsen i lagförslaget har utformats efter förebild av 2 kap. 1 § första stycket i den nya säkerhetsskyddslagen. Ordet säkerhetsskydd bör ersättas med säkerhetsskyddsåtgärder för att bättre stämma överens
20
| 5 RIKSDAGSSTYRELSENS ÖVERVÄGANDEN OCH FÖRSLAG | 2018/19:RS6 |
med terminologin i den föreslagna säkerhetsskyddslagen. Dessutom bör förekomst av säkerhetsskyddsklassificerade uppgifter läggas till i den nya lagbestämmelsen som en omständighet som ska beaktas vid bedömningen av behovet av säkerhetsskyddsåtgärder.
I 2 kap. 1 § tredje stycket den nya säkerhetsskyddslagen anges att en verksamhetsutövare ska anmäla och rapportera sådant som är av vikt för säkerhetsskyddet. Bestämmelsen kompletteras genom 2 kap. 10 § säkerhetsskyddsförordningen (2018:658) på så sätt att säkerhetshotande händelser ska anmälas till Säkerhetspolisen eller Försvarsmakten beroende på vilken av dessa myndigheter som är ansvarig för tillsyn inom verksamhetsområdet. Någon motsvarande bestämmelse föreslogs inte i promemorian eftersom varken Säkerhetspolisen eller Försvarsmakten utövar tillsyn över säkerhetsskyddet i riksdagen eller dess myndigheter. Riksdagsstyrelsen instämmer visserligen i Regeringskansliets uppfattning att anmälningsskyldigheten i säkerhetsskyddslagen är betydelsefull. Anmälningsskyldigheten ger Säkerhetspolisen och Försvarsmakten möjlighet att tidigt få kännedom om säkerhetshot som riktas mot skyddsvärda verksamheter och gör att myndigheterna i ett tidigt skede kan bistå med råd i sådana situationer. Riksdagsstyrelsen anser emellertid att frågan om en anmälnings- och rapporteringsskyldighet bör tas upp i samband med att frågan om eventuell tillsyn över riksdagen och dess myndigheter utreds (se avsnitt 5.1.1). Riksdagsstyrelsen konstaterar även att det i samband med framtagandet av promemorian inte har kommit fram något som tyder på att riksdagens myndigheters samverkan med Säkerhetspolisen inte fungerar tillfredsställande.
Säkerhetspolisen har föreslagit att det ska föras in en bestämmelse om säkerhetsskyddschef. Varken den nuvarande säkerhetsskyddslagen eller den nya lagen innehåller en bestämmelse om säkerhetsskyddschef, utan detta regleras på förordningsnivå. Nu gällande lag om säkerhetsskydd i riksdagen och dess myndigheter innehåller de grundläggande bestämmelserna om säkerhetsskyddet. När lagen beslutades var tanken att Riksdagsförvaltningen och övriga myndigheter under riksdagen i föreskriftsform skulle meddela de närmare föreskrifter som behövs på området (se t.ex. 2005/06:KU16 s. 7). Riksdagsstyrelsen gör bedömningen att frågan om att inrätta en funktion som säkerhetsskyddschef är en sådan organisatorisk fråga som respektive myndighet under riksdagen kan föreskriva om.
5.1.3Det behövs inte några bestämmelser om säkerhetsskyddsklassificering
Riksdagsstyrelsens förslag: Det förs inte in någon bestämmelse om säkerhetsskyddsklassificering i den nya lagen.
Promemorians förslag
Förslaget överensstämmer med riksdagsstyrelsens.
21
| 2018/19:RS6 | 5 RIKSDAGSSTYRELSENS ÖVERVÄGANDEN OCH FÖRSLAG |
Remissinstanserna
Remissinstanserna tillstyrker förslaget, har inget att invända eller avstår från att lämna någon synpunkt.
Skälen för riksdagsstyrelsens förslag
Bestämmelsen om säkerhetsskyddsklassificering 2 kap. 5 § i den nya säkerhetsskyddslagen kommer att gälla för riksdagen och dess myndigheter.
Den som upprättar en handling som innehåller säkerhetsklassificerade uppgifter måste ha kunskaper om uppgifternas betydelse eller informationsvärde och uppgifternas potentiella skadeeffekt om de röjs. För att kunna placera en uppgift i rätt säkerhetsskyddsklass är det viktigt att uppgiften bedöms på ett konkret och korrekt sätt. Detta kräver korrekt sakkunskap av den som gör bedömningen.
Inom Riksdagsförvaltningen gäller i fråga om informationssäkerhet att skyddet ska anpassas efter informationens värde. Detta värde baseras på hur betydelsefull informationen är för riksdagen eller utifrån lagfästa krav på hur informationen ska hanteras. Inom Riksdagsförvaltningen finns fyra informationsklasser: publik, begränsad, känslig och mycket känslig. Information som finns hos Riksdagsförvaltningen kan därmed omfattas av såväl den nya säkerhetsskyddslagens krav på säkerhetsskyddsklassificering enligt de angivna fyra klasserna som av Riksdagsförvaltningens fyra interna informationsklasser. I bilden nedan visas sambandet mellan Riksdagsförvaltningens informationsklasser och säkerhetsskyddsklasserna.
22
| 5 RIKSDAGSSTYRELSENS ÖVERVÄGANDEN OCH FÖRSLAG | 2018/19:RS6 | |
| Riksdagsförvaltningens | 2 kap. 5 § säkerhetsskyddslagen | |
| informationsklasser |
Enligt 2 kap. 7 § i den nya säkerhetsskyddslagen får regeringen eller den myndighet som regeringen bestämmer meddela ytterligare föreskrifter om säkerhetsskyddsklassificering enligt 2 kap. 5 §. I 10 § första stycket i 2006 års lag finns en upplysning om att Riksdagsförvaltningen enligt 7 § lagen (2011:745) om instruktion för Riksdagsförvaltningen får meddela föreskrifter inom sitt verksamhetsområde. Av 10 § andra stycket (lydelse enligt SFS 2018:589) framgår att övriga myndigheter som avses i 1 § lagen om säkerhetsskydd i riksdagen och dess myndigheter får meddela de närmare föreskrifter inom sitt verksamhetsområde som behövs för tillämpningen av den lagen samt av säkerhetsskyddslagens bestämmelser om säkerhetskyddsklass, säkerhetsprövning och säkerhetsintyg. 10 § föreslås föras över till den nya lagen om säkerhetsskydd i riksdagen och dess myndigheter med enbart en redaktionell ändring (14 § i lagförslaget), se avsnitt 5.1.1.
Mot denna bakgrund bedömer riksdagsstyrelsen att det inte är nödvändigt att föra in någon bestämmelse i den nya lagen om säkerhetsskydd i riksdagen och dess myndigheter med anledning av den nya bestämmelsen om säkerhetsskyddsklassificering.
23
| 2018/19:RS6 | 5 RIKSDAGSSTYRELSENS ÖVERVÄGANDEN OCH FÖRSLAG |
5.1.4 Det behövs inte några bestämmelser om säkerhetsprövning
Riksdagsstyrelsens förslag: Det förs inte in någon bestämmelse om säkerhetsprövning i den nya lagen.
Promemorians förslag
Förslaget överensstämmer med riksdagsstyrelsens förslag.
Remissinstanserna
Remissinstanser tillstyrker förslaget, har inget att invända eller avstår från att lämna någon synpunkt.
Skälen för riksdagsstyrelsens förslag
Bestämmelserna om säkerhetsprövning i 3 kap. i den nya säkerhetsskyddslagen kommer att gälla för riksdagen och dess myndigheter. Av 10 § i 2006 års lag framgår att Riksdagsförvaltningen och övriga myndigheter som avses i 1 § får meddela de närmare föreskrifter inom sitt verksamhetsområde som behövs för tillämpningen av säkerhetsskyddslagens bestämmelser om säkerhetsprövning. Bestämmelsen föreslås föras över till den nya lagen om säkerhetsskydd i riksdagen och dess myndigheter med enbart en redaktionell ändring (14 § i lagförslaget).
För riksdagens och Riksdagsförvaltningens del regleras säkerhetsprövningen i dag i riksdagsstyrelsens föreskrift (RFS 2006:2) om säkerhet och fredstida krishantering och i instruktionen om säkerhetsprövning av anställda vid Riksdagsförvaltningen. Både föreskriften och instruktionen kommer att behöva ses över med anledning av förslaget om ny säkerhetsskyddslag.
Liksom tidigare ska riksdagen och dess myndigheter besluta om placering i säkerhetsklass när det gäller riksdagens förvaltningsområde, 3 kap. 12 § nya säkerhetsskyddslagen. Regleringen i nu gällande säkerhetsskyddslag om att Riksdagsförvaltningen bestämmer om placering i säkerhetsklass och om registerkontroll för anställda efter samråd med krigsdelegationens sekreterare har tagits bort eftersom den rör interna angelägenheter för riksdagen och dess myndigheter.
Mot denna bakgrund bedömer riksdagsstyrelsen att det inte är nödvändigt att föra in någon materiell bestämmelse om säkerhetsprövning i den nya lagen om säkerhetsskydd i riksdagen och dess myndigheter.
24
| 5 RIKSDAGSSTYRELSENS ÖVERVÄGANDEN OCH FÖRSLAG | 2018/19:RS6 |
5.1.5 Vem som ska utfärda säkerhetsintyg
Riksdagsstyrelsens förslag: Riksdagsförvaltningen beslutar om registerkontroll och utfärdar säkerhetsintyg enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen (2018:585) för personer som deltar i
1.riksdagens eller Riksdagsförvaltningens verksamhet i annan egenskap än riksdagsledamot, och
2.verksamhet som de myndigheter som anges i 1 § 5–12 bedriver. Riksbanken, Riksdagens ombudsmän och Riksrevisionen beslutar om
registerkontroll och utfärdar säkerhetsintyg enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen för personer som deltar i respektive myndighets verksamhetsområde.
Promemorians förslag
Riksdagsförvaltningen beslutar om registerkontroll och utfärdar säkerhetsintyg för personer som deltar i riksdagens och Riksdagsförvaltningens verksamhet. Riksdagens övriga myndigheter beslutar om registerkontroll och utfärdar säkerhetsintyg för personer som deltar i respektive myndighets verksamhet.
Remissinstanserna
Flertalet remissinstanser tillstyrker förslaget, har inget att erinra eller avstår från att lämna synpunkter. Regeringskansliet framhåller att enligt säkerhetsskyddsförordningen är det Regeringskansliet som beslutar om registerkontroll, utfärdar intyg och lämnar underlag. Regeringskansliet får vidare besluta att vissa myndigheter ska utföra dessa uppgifter för personer som deltar i myndigheternas egen verksamhet. Det är i dessa fall fråga om myndigheter som regelbundet hanterar skyddsvärda uppgifter och som har kunskap om aktuella internationella åtaganden om säkerhetsskydd. Partibidragsnämnden ifrågasätter om det är rimligt att lägga ansvaret på nämnden att besluta om registerkontroll och utfärda säkerhetsintyg för personer som deltar i nämndens verksamhet. Om förslaget går igenom bör i sådana fall en översyn göras av överenskommelsen mellan nämnden och Riksdagsförvaltningen om det kanslistöd som förvaltningen bör ge nämnden för att den ska kunna genomföra dessa uppgifter.
Skälen för riksdagsstyrelsens förslag
Bestämmelserna i 4 kap. 1–3 §§ i den nya säkerhetsskyddslagen gäller för riksdagen och dess myndigheter. Däremot omfattas inte riksdagen och dess myndigheter av ordningen som innebär att säkerhetsintyg utfärdas av den myndighet som regeringen bestämmer. Utfärdandet av säkerhetsintyg för riksdagen och dess myndigheter måste därför regleras i lagen om säkerhetsskydd i riksdagen och dess myndigheter.
25
| 2018/19:RS6 | 5 RIKSDAGSSTYRELSENS ÖVERVÄGANDEN OCH FÖRSLAG |
| Det ligger närmast till hands att föreskriva att Riksdagsförvaltningen | |
| utfärdar säkerhetsintyg m.m. för de personer som deltar i riksdagens och | |
| Riksdagsförvaltningens verksamhet eftersom det är förvaltningen som | |
| säkerhetsprövar dessa personer. | |
| Som tidigare nämnts förekommer det att anställda vid riksdagspartiernas | |
| kanslier deltar i riksdagens verksamhet som stöd, t.ex. som politisk sekreter- | |
| are, för en ledamot. Även i dessa fall bör det vara Riksdagsförvaltningens upp- | |
| gift att utfärda säkerhetsintyg. | |
| I riksdagens verksamhet deltar även ledamöterna. Enligt den gällande | |
| säkerhetsskyddslagen ska registerkontroll inte göras när det gäller ledamöter i | |
| riksdagen. I den nya säkerhetsskyddslagen anges att säkerhetsprövning inte | |
| ska göras när det gäller uppdrag som ledamot av riksdagen. Undantaget gäller | |
| endast när ledamoten utövar sitt uppdrag. Om en riksdagsledamot deltar i | |
| någon annan säkerhetskänslig verksamhet ska personen säkerhetsprövas. | |
| Om det behövs för att ett säkerhetsintyg ska kunna utfärdas får det göras en | |
| säkerhetsprövning som innefattar registerkontroll och en särskild personutred- | |
| ning, se 4 kap. 2 § den nya säkerhetsskyddslagen. Eftersom säkerhetsprövning | |
| inte ska göras när det gäller uppdrag som ledamot av riksdagen bedöms denna | |
| bestämmelse inte omfatta riksdagsledamöter som utövar sitt uppdrag. Här får | |
| även talmannen och ersättare för riksdagsledamöter anses ingå. Detta överens- | |
| stämmer med vad som gäller för ledamöter av flertalet nordiska och väst- | |
| europeiska parlament. När det är fråga om att en ledamot deltar i någon annan | |
| säkerhetskänslig verksamhet än vad som följer av uppdraget som | |
| riksdagsledamot är det dock den myndighet som regeringen bestämmer som | |
| beslutar om registerkontroll och utfärdar säkerhetsintyg. | |
| Några remissinstanser, bl.a. Partibidragsnämnden, har ställt sig tveksamma | |
| till om samtliga myndigheter under riksdagen har tillräcklig erfarenhet och | |
| kunskap om aktuella internationella åtaganden om säkerhetsskydd för att t.ex. | |
| utfärda säkerhetsintyg. Mot bakgrund av de begränsade kansliresurser som | |
| nämndmyndigheterna under riksdagen förfogar över anser riksdagsstyrelsen | |
| att det är lämpligt att Riksdagsförvaltningen beslutar om registerkontroll och | |
| utfärdar säkerhetsintyg för personer som deltar i nämndmyndigheternas | |
| verksamhet. Övriga myndigheter under riksdagen, dvs. Riksbanken, Riks- | |
| dagens ombudsmän och Riksrevisionen, bedöms dock kunna besluta om | |
| registerkontroll och utfärda säkerhetsintyg för personer som deltar i respektive | |
| myndighets verksamhet. |
26
| 5 RIKSDAGSSTYRELSENS ÖVERVÄGANDEN OCH FÖRSLAG | 2018/19:RS6 |
5.1.6 Säkerhetsskyddsavtal
Riksdagsstyrelsens förslag: Om en myndighet som anges i 1 § avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader, ska den se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 3 § ska tillgodoses av leverantören om
1.det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2.upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Myndigheten ska kontrollera att leverantören följer säkerhetsskyddsavtalet.
Promemorians förslag
Förslaget överensstämmer med riksdagsstyrelsens.
Remissinstanserna
Flertalet remissinstanser tillstyrker förslaget, har inget att invända eller avstår från att lämna synpunkter. Vänsterpartiet anför att det är ett riskmoment i sig att utkontraktera uppgifter som innebär hantering av säkerhetskänslig information och att sådan utkontraktering endast bör göras i undantagsfall. Vänsterpartiet anser att de föreslagna bestämmelserna (5 och 6 §§ om säkerhetsskyddsåtgärder och 12 § om säkerhetsskyddsavtal) inte är tillräckliga.
Skälen för riksdagsstyrelsens förslag
Genom den nya säkerhetsskyddslagen utvidgas kravet på att ingå säkerhetsskyddsavtal. Bestämmelsen ska inte gälla för riksdagen och dess myndigheter, men en motsvarande bestämmelse om säkerhetsskyddsavtal finns i 8 § i 2006 års lag.
Enligt den nya lagen ska statliga myndigheter, kommuner och landsting som avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 2 kap. 1 § ska tillgodoses av leverantören om det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller om upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet. Verksamhetsutövaren ska kontrollera att leverantören följer säkerhetsskyddsavtalet.
Det saknas skäl att införa en reglering för riksdagen och dess myndigheter av när säkerhetsskyddsavtal ska ingås som avviker från den som finns i den nya säkerhetsskyddslagen. Det finns inte heller skäl att avvika från bestämmelsen om att myndigheten ska kontrollera att leverantören följer säkerhetsskyddsavtalet.
27
| 2018/19:RS6 | 5 RIKSDAGSSTYRELSENS ÖVERVÄGANDEN OCH FÖRSLAG |
| Kravet på att ingå säkerhetsskyddsavtal omfattar även enskilda verksam- | |
| hetsutövare. Eftersom enskilda verksamhetsutövare kommer att omfattas av | |
| den nya säkerhetsskyddslagen finns det inget behov av motsvarande reglering | |
| i lagen om säkerhetsskydd i riksdagen och dess myndigheter. | |
| I 1996 och 2006 års lagar finns bestämmelser om att säkerhetsskyddet inte | |
| får göras mindre långtgående i ett säkerhetsskyddsavtal än vad som följer av | |
| säkerhetsskyddslagen (8 § andra stycket). Någon motsvarighet till den bestäm- | |
| melsen finns inte i den nya säkerhetsskyddslagen. Skälet till det är att hänvis- | |
| ningen i 2 kap. 6 § nya säkerhetsskyddslagen till hur kraven på säkerhetsskydd | |
| enligt 2 kap. 1 § ska tillgodoses av leverantören innebär att säkerhetsskyddet | |
| inte får göras mindre långtgående i ett säkerhetsskyddsavtal än vad som följer | |
| av lagen. Det bedöms inte behövas någon motsvarighet till bestämmelsen i den | |
| nya lagen om säkerhetsskydd i riksdagen och dess myndigheter. | |
| När det gäller utkontraktering av säkerhetskänslig verksamhet har händ- | |
| elser i närtid och påpekanden från Säkerhetspolisen visat på att ytterligare | |
| åtgärder än dem som föreslagits i betänkandet En ny säkerhetsskyddslag kan | |
| behöva vidtas. Regeringen har därför tillsatt en utredning med uppdraget att | |
| kartlägga och föreslå åtgärder som motverkar att uppgifter som gäller Sveriges | |
| säkerhet eller säkerhetskänslig verksamhet utsätts för risker i samband med | |
| utkontraktering, upplåtelse och överlåtelse av sådan verksamhet, och föreslå | |
| olika förebyggande åtgärder, t.ex. tillståndsprövning. I utredningens uppdrag | |
| ingår även att föreslå ett system med sanktioner i säkerhetsskyddslagstift- | |
| ningen och att föreslå hur en ändamålsenlig tillsyn enligt lagen ska vara | |
| utformad (dir. 2017:32). Utredningen ska redovisa sitt uppdrag senast den | |
| 30 november 2018. I avvaktan på utredningens förslag har regeringen beslutat | |
| att skärpa kraven på statliga myndigheter när de utkontrakterar säkerhetskäns- | |
| lig verksamhet. Enligt en ändring i säkerhetsskyddsförordningen (1996:633), | |
| som trädde i kraft den 1 april 2018, ska statliga myndigheter, innan en utkont- | |
| raktering inleds, samråda med någon av tillsynsmyndigheterna Säkerhets- | |
| polisen eller Försvarsmakten. Säkerhetspolisen eller Försvarsmakten ska | |
| också ha möjlighet att besluta att sådana förfaranden inte får genomföras. | |
| Motsvarande bestämmelser finns i den nya säkerhetsskyddsförordningen. | |
| Vänsterpartiets synpunkter med anledning av remissen är desamma som de | |
| synpunkter som fördes fram i motion 2017/18:3980 (V) vid behandlingen av | |
| propositionen om en ny säkerhetsskyddslag. Justitieutskottet fann då att det | |
| för närvarande inte fanns skäl att föreslå några nya åtgärder i fråga om | |
| utkontraktering eftersom regeringen gett en särskild utredare i uppdrag att bl.a. | |
| kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter | |
| eller i övrigt säkerhetskänslig verksamhet utsätts för risker i samband med | |
| utkontraktering, upplåtelse eller överlåtelse av sådan verksamhet och föreslå | |
| åtgärder. Utskottet avstyrkte därmed motionen. Riksdagen beslutade i enlighet | |
| med utskottets förslag. Riksdagsstyrelsen gör bedömningen att det för | |
| närvarande – i avvaktan på utredningens förslag – inte finns skäl att införa en | |
| sådan bestämmelse i lagen om säkerhetsskydd i riksdagen och dess | |
| myndigheter. |
28
| 5 RIKSDAGSSTYRELSENS ÖVERVÄGANDEN OCH FÖRSLAG | 2018/19:RS6 |
5.2 Ändring i säkerhetsskyddslagen (2018:585)
Riksdagsstyrelsens förslag: Hänvisningen i säkerhetsskyddslagen till lagen om säkerhetsskydd i riksdagen och dess myndigheter ändras med anledning av den nya lagen om säkerhetsskydd i riksdagen och dess myndigheter.
Promemorians överväganden
Förslaget fanns inte i promemorian.
Skälen för riksdagsstyrelsens förslag
Den ändring som föreslås i 1 kap. 3 § första stycket säkerhetsskyddslagen (2018:585) är en följd av att lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter ersätts av en ny lag.
29
2018/19:RS6
6 Ikraftträdande- och övergångsbestämmelser
Riksdagsstyrelsens förslag: Lagen ska träda i kraft den 1 april 2019.
Ett beslut om registerkontroll för skyddet mot terrorism enligt 1996 års säkerhetsskyddslag ska, om inte annat beslutas, motsvara ett beslut om placering i säkerhetsklass 3 enligt den nya säkerhetsskyddslagen, dock längst till dess att ett nytt beslut om säkerhetsklass meddelas enligt den nya lagen. Ett sådant beslut ska meddelas senast den 31 december 2024.
Promemorians förslag
Förslaget överensstämmer med riksdagsstyrelsens förslag.
Remissinstanserna
Flertalet remissinstanser tillstyrker förslaget, har inget att invända eller avstår från att lämna synpunkter.
Skälen för riksdagsstyrelsens förslag
Lagen bör träda i kraft samtidigt som den nya säkerhetsskyddslagen.
Enligt punkten 4 i ikraftträdande- och övergångsbestämmelserna till den nya säkerhetsskyddslagen ska ett beslut om registerkontroll enligt 14 § i 1996 års säkerhetsskyddslag i den utsträckning som regeringen föreskriver motsvara ett beslut om placering i säkerhetsklass 3. Detta ska gälla till dess att ett nytt beslut om säkerhetsklass enligt den nya lagen meddelas. Ett sådant beslut ska meddelas senast vid utgången av 2024.
Riksdagen och dess myndigheter omfattas inte av regeringens föreskrifter i detta hänseende. Eftersom riksdagens myndigheter utför en del registerkontroller med stöd av 14 § i 1996 års säkerhetsskyddslag behövs en särskild övergångsbestämmelse i lagen om säkerhetsskydd i riksdagen och dess myndigheter.
Riksdagsstyrelsen föreslår att det införs en övergångsbestämmelse som föreskriver att ett beslut om registerkontroll med stöd av 14 § i 1996 års säkerhetsskyddslag ska, om inte annat beslutas, motsvara ett beslut om placering i säkerhetsklass 3 enligt 3 kap. 8 § i den nya säkerhetsskyddslagen. Detta ska gälla till dess att ett nytt beslut om säkerhetsklass enligt den nya lagen fattas, dock längst till utgången av 2024.
30
| 7 EKONOMISKA KONSEKVENSER | 2018/19:RS6 |
7 Ekonomiska konsekvenser
Riksdagsstyrelsens bedömning: Förslagen förväntas inte leda till några större kostnadsökningar.
Promemorians bedömning
Bedömningen överensstämmer med riksdagsstyrelsens bedömning.
Remissinstanserna
Ingen remissinstans har kommenterat bedömningen.
Skälen för riksdagsstyrelsens bedömning
När det gäller säkerhetsprövningar kan förslaget komma att innebära att Riksdagsförvaltningen måste använda ökade resurser till att utföra grundutredningar och till att kontinuerligt bevaka uppgifter som tillförs de olika registren, för att kunna uppfylla kraven på uppföljning av säkerhetsprövningen. Detta bedöms dock kunna göras inom ramen för befintliga resurser.
Uppföljningen av säkerhetsskyddsavtalen kan komma att medföra vissa kostnadsökningar.
Det torde inte ofta bli aktuellt att utfärda säkerhetsintyg. Någon kostnadsökning förväntas därför inte med anledning av de nya bestämmelserna.
31
2018/19:RS6
8 Författningskommentar
8.1Förslag till lag om säkerhetsskydd i riksdagen och dess myndigheter
Allmänna överväganden om behovet av en ny lag om säkerhetsskydd i riksdagen och dess myndigheter finns i avsnitt 5.1.
1 § Denna lag gäller i verksamhet vid riksdagen och vid följande myndigheter under riksdagen:
1.Riksdagsförvaltningen,
2.Riksbanken,
3.Riksdagens ombudsmän,
4.Riksrevisionen,
5.Partibidragsnämnden,
6.Riksdagens arvodesnämnd,
7.Statsrådsarvodesnämnden,
8.Nämnden för prövning av statsråds och statssekreterares övergångsrestriktioner,
9.Nämnden för lön till riksdagens ombudsmän och riksrevisorerna,
10.Riksdagens överklagandenämnd,
11.Valprövningsnämnden, och
12.Riksdagens ansvarsnämnd.
Paragrafen motsvarar 1 § i 2006 års lag. I enlighet med Lagrådets förslag till 2006 års lag räknas de myndigheter för vilken lagen ska gälla upp i paragrafen. Nämnderna anges i den ordning som de nämns i lagen (2011:745) om instruktion för Riksdagsförvaltningen. I paragrafen anges numera det fullständiga namnet på Nämnden för lön till riksdagens ombudsmän och riksrevisorerna.
Den 1 juli 2018 inrättades ett särskilt prövningsorgan, Nämnden för prövning av statsråd och statssekreterares övergångsrestriktioner, under riksdagen. Nämnden för prövning av statsråds och statssekreterares övergångsrestriktioner ska också omfattas av lagen om säkerhetsskydd i riksdagen och dess myndigheter och ingå i uppräkningen i 1 §.
2 § Med säkerhetskänslig verksamhet avses verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.
Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt
32
| 8 FÖRFATTNINGSKOMMENTAR | 2018/19:RS6 |
offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.
Paragrafen motsvarar delvis 3 § i 2006 års lag. I paragrafen anges vad som avses med säkerhetskänslig verksamhet, säkerhetsskydd och säkerhetsskyddsklassificerade uppgifter. Definitionerna överensstämmer med de som förekommer i den nya säkerhetsskyddslagen. Övervägandena finns i avsnitt 5.1.1.
3 § Den som bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.
Med utgångspunkt i analysen ska myndigheten planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.
Myndigheten ska kontrollera säkerhetsskyddet i den egna verksamheten och i övrigt vidta de åtgärder som krävs enligt denna lag och enligt säkerhetsskyddslagen (2018:585) i tillämpliga delar.
Första stycket är nytt. Där införs ett krav på att genomföra en säkerhetsskyddsanalys. Övervägandena finns i avsnitt 5.1.2.
Andra stycket motsvarar 2 § första stycket i 2006 års lag och innehåller anpassningar till de nya definitionerna av säkerhetsskyddsåtgärder och säkerhetsskyddsklassificerade uppgifter. Övervägandena finns i avsnitt 5.1.1 och 5.1.2.
Tredje stycket motsvarar delvis 9 § 2 i 2006 års lag. Skyldigheten att kontrollera säkerhetsskyddet har flyttas till denna paragraf för att bestämmelsen om omfattningen av säkerhetsskyddet ska ha en liknande uppbyggnad som i den nya säkerhetsskyddslagen och för att förtydliga de krav som ställs vid ingåendet av ett säkerhetsskyddsavtal. Med ”i tillämpliga delar” avses bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap.
4 § Säkerhetsskyddet ska utformas med beaktande av enskildas rätt att enligt tryckfrihetsförordningen ta del av allmänna handlingar och med beaktande av enskildas integritet.
Vid utformningen av säkerhetsskyddet i riksdagen och Riksdagsförvaltningen ska öppenhet gentemot allmänheten och företrädare för massmedierna särskilt beaktas.
Paragrafen motsvarar 2 § andra och tredje stycket i 2006 års lag. Övervägandena finns i avsnitt 5.1.1. Ordet ”samt” i första stycket har ändrats till ”och”.
33
| 2018/19:RS6 | 8 FÖRFATTNINGSKOMMENTAR |
5 § Informationssäkerhet ska
1.förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
2.förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
Paragrafen motsvarar delvis 4 § 1 i 2006 års lag. I paragrafen anges vad som avses med informationssäkerhet. Definitionen överensstämmer med den som finns i 2 kap. 2 § i den föreslagna säkerhetsskyddslagen. Övervägandena finns i avsnitt 5.1.1.
6 § Vid utformningen av informationssäkerheten ska behovet av skydd för informationssystem särskilt beaktas.
Paragrafen motsvarar 5 § i 2006 års lag. Orden ”automatiserad informationsbehandling” byts ut mot ”informationssystem”. Någon ändring i sak är inte avsedd. Övervägandena finns i avsnitt 5.1.1.
7 § Fysisk säkerhet ska
1.förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, och
2.förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i 1.
Paragrafen motsvarar delvis 4 § 2 i 2006 års lag. I den anges vad som avses med fysisk säkerhet. Definitionen överensstämmer med den som finns i 2 kap. 3 § i den nya säkerhetsskyddslagen. Övervägandena finns i avsnitt 5.1.1.
8 § Den fysiska säkerheten ska utformas så att enskildas rätt att röra sig fritt inte inskränks mer än nödvändigt.
Bestämmelser om allmänhetens tillträde till riksdagens kammare, utskott och EU-nämnd finns i regeringsformen, riksdagsordningen och i lagen (1988:144) om säkerhetskontroll i riksdagens lokaler.
Bestämmelser som möjliggör förbud mot tillträde till vissa byggnader, andra anläggningar och områden finns i skyddslagen (2010:305).
Paragrafen motsvarar 6 § i 2006 års lag. Övervägandena finns i avsnitt 5.1.1. I första stycket har ordet tillträdesbegränsningar ersatts av den fysiska säkerheten i enlighet med definitionen i 7 §. En redaktionell ändring har gjorts
där den ”enskildes rätt” ändrats till ”enskildas rätt”.
34
| 8 FÖRFATTNINGSKOMMENTAR | 2018/19:RS6 |
I andra stycket har EU-nämnden och regeringsformen lagts till. De bestämmelser som avses i hänvisningen är 4 kap. 9 § regeringsformen samt 6 kap. 7 § och 7 kap. 17 § riksdagsordningen.
Tredje stycket har förts över utan ändring.
9 § Personalsäkerhet ska
1.förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar
ien verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och
2.säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
Paragrafen motsvarar delvis 4 § 1 i 2006 års lag. I den anges vad som avses med personalsäkerhet. Definitionen överensstämmer med den som finns i 2 kap. 4 § i den nya säkerhetsskyddslagen. Övervägandena finns i avsnitt 5.1.1.
10 § För riksdagen och de myndigheter som anges i 1 § finns bestämmelser om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg i säkerhetsskyddslagen (2018:585).
Paragrafen motsvarar 7 § i 2006 års lag i den lydelse som enligt riksdagens beslut skulle ha trätt i kraft den 1 april 2019 (bet. 2017/18:JuU21, rskr. 2017/18:289). Övervägandena finns i avsnitt 5.1.1. Ordet ”säkerhetsskyddsklass” har ändrats till ”säkerhetsskyddsklasser”.
11 § Riksdagsförvaltningen beslutar om registerkontroll och utfärdar säkerhetsintyg enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen (2018:585) för personer som deltar i
1.riksdagens eller Riksdagsförvaltningens verksamhet i annan egenskap än riksdagsledamot, och
2.verksamhet som de myndigheter som anges i 1 § 5–12 bedriver. Riksbanken, Riksdagens ombudsmän och Riksrevisionen beslutar om
registerkontroll och utfärdar säkerhetsintyg enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen för personer som deltar i respektive myndighets verksamhetsområde.
Paragrafen reglerar vem som ska besluta om registerkontroll och utfärda säkerhetsintyg på riksdagens och dess myndigheters verksamhetsområde. Det är Riksdagsförvaltningen som beslutar om registerkontroll och utfärdar säkerhetsintyg för nämndernas räkning. Övervägandena finns i avsnitt 5.1.5.
35
| 2018/19:RS6 | 8 FÖRFATTNINGSKOMMENTAR |
12 § Om en myndighet som anges i 1 § avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader, ska den se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 3 § ska tillgodoses av leverantören om
1.det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2.upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Myndigheten ska kontrollera att leverantören följer säkerhetsskyddsavtalet.
Paragrafen innehåller bestämmelser om säkerhetsskyddsavtal och har utformats efter 2 kap. 6 § i den nya säkerhetsskyddslagen. Övervägandena finns i avsnitt 5.1.6.
13 § De myndigheter som anges i 1 § ska var och en inom respektive verksamhetsområde se till att de som berörs av bestämmelserna i denna lag informeras om innehållet i lagen och ges utbildning i frågor om säkerhetsskydd.
Paragrafen motsvarar 9 § 1 i 2006 års lag. Innehållet förs över i oförändrat skick. Övervägandena finns i avsnitt 5.1.1.
14 § Av 7 § lagen (2011:745) med instruktion för Riksdagsförvaltningen framgår att Riksdagsförvaltningen får meddela föreskrifter inom sitt verksamhetsområde.
Övriga myndigheter som anges i 1 § får meddela de närmare föreskrifter inom sitt verksamhetsområde som behövs för tillämpning av
1.denna lag, och
2.säkerhetsskyddslagens (2018:585) bestämmelser om säkerhetsskyddsklasser, säkerhetsprövning och säkerhetsintyg.
Paragrafen motsvarar 10 § i 2006 års lag i den lydelse som enligt riksdagens beslut skulle ha trätt i kraft den 1 april 2019 (bet. 2017/18:JuU21, rskr. 2017/18:289). Övervägandena finns i avsnitt 5.1.1. Ordet ”säkerhetsskyddsklass” har ändrats till ”säkerhetsskyddsklasser”.
36
| 8 FÖRFATTNINGSKOMMENTAR | 2018/19:RS6 |
Ikraftträdande och övergångsbestämmelser
1.Denna lag träder i kraft den 1 april 2019.
2.Genom lagen upphävs lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter.
3.Beslut om registerkontroll enligt 14 § i säkerhetsskyddslagen (1996:627) ska, om inte annat beslutas, motsvara ett beslut om placering i säkerhetsklass 3 enligt 3 kap. 8 § säkerhetsskyddslagen (2018:585), dock längst till dess att ett nytt beslut om säkerhetsklass enligt den nya lagen meddelas. Ett sådant beslut ska meddelas senast den 31 december 2024.
Lagen träder enligt bestämmelsen i punkt 1 i kraft den 1 april 2019 samtidigt som den nya säkerhetsskyddslagen.
Av punkten 2 följer att 2006 års lag om säkerhetsskydd i riksdagen och dess myndigheter upphävs genom lagen.
I punkten 3 anges att ett beslut om registerkontroll till skydd mot terrorism enligt 14 § i 1996 års säkerhetsskyddslag ska, om inte annat beslutas, motsvara ett beslut om placering i säkerhetsklass 3 enligt säkerhetsskyddslagen (2018:585), dock längst till dess att ett nytt beslut om säkerhetsklass enligt den nya lagen fattas. Ett sådant beslut ska meddelas senast den 31 december 2024. Övervägandena finns i avsnitt 6.
37
| 2018/19:RS6 | 8 FÖRFATTNINGSKOMMENTAR |
8.2Förslag till lag om ändring i säkerhetsskyddslagen (2018:585)
1 kap.
3 § För riksdagen och dess myndigheter gäller endast bestämmelserna om säkerhetsskyddsklasser i 2 kap. 5 §, säkerhetsprövning i 3 kap. och säkerhetsintyg i 4 kap. I övrigt gäller lagen (2019:000) om säkerhetsskydd i riksdagen och dess myndigheter.
Regeringen får i fråga om Regeringskansliet, utlandsmyndigheterna och kommittéväsendet meddela föreskrifter om undantag från andra bestämmelser i lagen än de som anges i första stycket.
Den ändring som föreslås i första stycket är en följd av att lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter ersätts av en ny lag.
38
2018/19:RS6
BILAGA 1
Promemorians lagförslag
Förslag till lag om säkerhetsskydd i riksdagen och dess myndigheter
Härigenom föreskrivs följande.
Inledande bestämmelser
1 § Denna lag gäller i verksamhet vid riksdagen och vid följande myndigheter under riksdagen:
1.Riksdagsförvaltningen
2.Riksbanken
3.Riksdagens ombudsmän
4.Riksrevisionen
5.Nämnden för lön till riksdagens ombudsmän och riksrevisorerna
6.Partibidragsnämnden
7.Riksdagens ansvarsnämnd
8.Riksdagens arvodesnämnd
9.Riksdagens överklagandenämnd
10.Statsrådsarvodesnämnden
11.Valprövningsnämnden.
12.Nämnden för prövning av statsråds och statssekreterares övergångsrestriktioner
2 § Med säkerhetskänslig verksamhet avses verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.
Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.
Utformningen av säkerhetsskyddet
3 § Den som bedriver säkerhetskänslig verksamhet enligt denna lag ska utreda behovet av säkerhetsskydd (säkerhetsskyddsanalys). Säkerhetsskyddsanalysen ska dokumenteras.
Med utgångspunkt i analysen ska myndigheten planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.
39
| 2018/19:RS6 | BILAGA 1 PROMEMORIANS LAGFÖRSLAG |
| Myndigheten ska kontrollera säkerhetsskyddet i den egna verksamheten | |
| och i övrigt vidta de åtgärder som krävs enligt denna lag och enligt säkerhets- | |
| skyddslagen (2018:585) i tillämpliga delar. | |
| 4 § Säkerhetsskyddet ska utformas med beaktande av enskildas rätt att enligt | |
| tryckfrihetsförordningen ta del av allmänna handlingar och med beaktande av | |
| enskildas integritet. | |
| Vid utformningen av säkerhetsskyddet i riksdagen och Riksdagsförvalt- | |
| ningen ska öppenhet gentemot allmänheten och företrädare för massmedierna | |
| särskilt beaktas. |
Säkerhetsskyddsåtgärder
5 § Informationssäkerhet ska
1.förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
2.förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
6 § Vid utformningen av informationssäkerheten ska behovet av skydd för informationssystem beaktas särskilt.
7 § Fysisk säkerhet ska
1.förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, och
2.förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i 1.
8 § Den fysiska säkerheten ska utformas så att den enskildes rätt att röra sig fritt inte inskränks mer än nödvändigt.
Bestämmelser om allmänhetens tillträde till riksdagens kammare och utskott finns i riksdagsordningen och i lagen (1988:144) om säkerhetskontroll i riksdagens lokaler.
Bestämmelser som möjliggör förbud mot tillträde till vissa byggnader, andra anläggningar och områden finns i skyddslagen (2010:305).
9 § Personalsäkerhet ska
1.förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar
ien verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och
2.säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
40
| PROMEMORIANS LAGFÖRSLAG BILAGA 1 | 2018/19:RS6 |
Säkerhetsskyddsklass, säkerhetsprövning och säkerhetsintyg
10 § För riksdagen och de myndigheter som avses i 1 § finns bestämmelser om säkerhetsskyddsklass, säkerhetsprövning och säkerhetsintyg i säkerhetsskyddslagen (2018:585).
11 § Riksdagsförvaltningen beslutar om registerkontroll och utfärdar säkerhetsintyg enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen (2018:585) för personer som deltar i riksdagens eller Riksdagsförvaltningens verksamhet i annan egenskap än riksdagsledamot.
Övriga myndigheter som avses i 1 § beslutar om registerkontroll och utfärdar säkerhetsintyg enligt 4 kap. 1 och 2 §§ säkerhetsskyddslagen för personer som deltar i respektive myndighets egen verksamhet.
Säkerhetsskyddsavtal
12 § Om en myndighet som avses i 1 § avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenader, ska den se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd enligt 3 § ska tillgodoses av leverantören om
1.det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2.upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Myndigheten ska kontrollera att leverantören följer säkerhetsskyddsavtalet.
Information och utbildning
13 § De myndigheter som avses i 1 § ska var och en inom sitt verksamhetsområde se till att de som berörs av bestämmelserna i denna lag informeras om innehållet i lagen och ges utbildning i frågor om säkerhetsskydd.
Bemyndiganden
14 § Av 7 § lagen (2011:745) med instruktion för Riksdagsförvaltningen framgår att Riksdagsförvaltningen får meddela föreskrifter inom sitt verksamhetsområde.
Övriga myndigheter som avses i 1 § får meddela de närmare föreskrifter inom sitt verksamhetsområde som behövs för tillämpning av
1.denna lag och
2.säkerhetsskyddslagens (2018:585) bestämmelser om säkerhetsskyddsklass, säkerhetsprövning och säkerhetsintyg.
__________
1.Denna lag träder i kraft den 1 april 2019.
2.Genom lagen upphävs lagen (2006:128) om säkerhetsskydd i riksdagen och dess myndigheter.
3.Beslut om registerkontroll enligt 14 § i säkerhetsskyddslagen (1996:627) ska, om inte annat beslutas, motsvara ett beslut om placering i säkerhetsklass 3 enligt 3 kap. 8 § säkerhetsskyddslagen (2018:585), dock längst till dess att ett
41
| 2018/19:RS6 | BILAGA 1 PROMEMORIANS LAGFÖRSLAG |
| nytt beslut om säkerhetsklass enligt den nya lagen meddelas. Ett sådant beslut | |
| ska meddelas senast vid utgången av 2024. |
42
2018/19:RS6
BILAGA 2
Remissinstanser
1.Riksbanken
2.Riksdagens ombudsmän
3.Riksrevisionen
4.Nämnden för lön till riksdagens ombudsmän och riksrevisorerna
5.Partibidragsnämnden
6.Riksdagens ansvarsnämnd
7.Riksdagens arvodesnämnd
8.Riksdagens överklagandenämnd
9.Statsrådsarvodesnämnden
10.Valprövningsnämnden
11.Centerpartiet
12.Kristdemokraterna
13.Liberalerna
14.Miljöpartiet de gröna
15.Moderata samlingspartiet
16.Socialdemokraterna
17.Sverigedemokraterna
18.Vänsterpartiet
19.Regeringskansliet (Justitiedepartementet L4 och L6)
20.Hovrätten för Övre Norrland
21.Kammarrätten i Jönköping
22.Polismyndigheten
23.Säkerhetspolisen
24.Säkerhets- och integritetsskyddsnämnden
25.Myndigheten för samhällsskydd och beredskap
26.Försvarsmakten
27.Försvarshögskolan
28.Länsstyrelsen i Stockholms län
29.Stockholms kommun
30.Riksdagsjournalisternas förening
43
Tryck: Riksdagstryckeriet, Stockholm 2018