2 kap. Grundläggande bestämmelser om säkerhetsskydd

Den som bedriver säkerhetskänslig verksamhet ska enligt 2 kap. 1 § säkerhetsskyddslagen (2018:585) göra en säkerhetsskyddsanalys. Säkerhetsskyddsanalysen innebär att säkerhetsskyddsklassificerade uppgifter och vad som i övrigt behöver ett säkerhetsskydd ska identifieras. Vilka delar av verksamheten som är skyddsvärda med hänsyn till Sveriges säkerhet samt vilka hot och sårbarheter som finns kopplade till detta skyddsvärde ska också identifieras. Säkerhetsskyddsanalysen ska även innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen ska hållas uppdaterad.

Vid verksamhet som förordningen gäller för ska det, om det inte är uppenbart obehövligt, finnas en säkerhetsskyddschef som kontrollerar att verksamheten bedrivs i enlighet med vad som föreskrivs i säkerhetsskyddslagen (2018:585) och denna förordning. Vid myndigheter ska säkerhetsskyddschefen vara direkt underställd myndighetens chef.

Behörig att ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt delta i säkerhetskänslig verksamhet är, om inte något annat följer av bestämmelser i lag, endast den som 1. har bedömts pålitlig från säkerhetssynpunkt, 2. har tillräckliga kunskaper om säkerhetsskydd, och 3. behöver uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt delta i den säkerhetskänsliga verksamheten.

En verksamhetsutövare ska upplysa den som tillåts ta del av säkerhetsskyddsklassificerade uppgifter om räckvidden och innebörden av den sekretess och tystnadsplikt som följer av offentlighets- och sekretesslagen (2009:400) respektive 5 kap. 2 § säkerhetsskyddslagen (2018:585).

En enskild verksamhetsutövare som avser att ingå ett säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) ska utan dröjsmål anmäla det till den tillsynsmyndighet som anges i 7 kap. 1 § första stycket 3-6. Anmälan syftar till att uppmärksamma tillsynsmyndigheten på eventuellt behov av placering i säkerhetsklass och ska också utgöra underlag för myndighetens arbete med tillsyn över säkerhetsskyddet. I 5 kap. finns bestämmelser om beslut om placering i säkerhetsklass samt registerkontroll och särskild personutredning.

En statlig myndighet som avser att genomföra en upphandling som innebär krav på säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) ska vidta de åtgärder som anges i andra stycket, om 1. leverantören kan få tillgång till eller möjlighet att förvara säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre utanför myndighetens lokaler, eller 2. leverantören kan få tillgång till säkerhetskänsliga informationssystem utanför myndighetens lokaler och obehörig åtkomst till systemen kan medföra allvarlig skada för Sveriges säkerhet. En statlig myndighet som avser att genomföra en sådan upphandling ska innan förfarandet inleds 1. genom en särskild säkerhetsskyddsbedömning identifiera och dokumentera vilka säkerhetsskyddsklassificerade uppgifter eller säkerhetskänsliga informationssystem som leverantören kan få del av och som kräver säkerhetsskydd, och 2. samråda med den myndighet som enligt 7 kap. 1 § första stycket 1 eller 2 utövar tillsyn över den aktuella verksamheten. Tillsynsmyndigheten får förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att myndigheten inte får genomföra upphandlingen. Förordning (2019:82).

Den som har ingått ett säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) ska anmäla det till Säkerhetspolisen. En sådan anmälan ska också göras när ett säkerhetsskyddsavtal upphör att gälla.

Den nationella industrisäkerhetsmyndigheten får ingå ett säkerhetsskyddsavtal med en leverantör, om det är nödvändigt för att leverantören ska kunna delta i ett internationellt samarbete och det behövs för att utfärda säkerhetsintyg enligt 4 kap. 1 § säkerhetsskyddslagen (2018:585). Säkerhets- skyddsavtalet ska anmälas till Säkerhetspolisen. Förordning (2019:82).

Försvarsmakten är samrådsmyndighet enligt 2 kap. 9 § säkerhetsskyddslagen (2018:585) för Fortifikationsverket, Försvarshögskolan, de myndigheter som hör till Försvarsdepartementet samt enskilda överlåtare inom området för försvarsmateriel. Säkerhetspolisen är samrådsmyndighet enligt 2 kap. 9 § säkerhetsskyddslagen för övriga överlåtare. Förordning (2020:1008).

Samrådsmyndigheterna ska samverka med varandra i syfte att åstadkomma en effektiv och enhetlig hantering av samrådsärenden. Vid behov ska samrådsmyndigheterna även samverka med myndigheterna som anges i 7 kap. 1 § 3-6 och Inspektionen för strategiska produkter. Förordning (2020:1008).

Skyldigheten att göra en särskild säkerhetsskyddsbedömning och lämplighetsprövning samt att samråda enligt 2 kap. 7 § första stycket samt 8 och 9 §§ säkerhetsskyddslagen (2018:585) gäller inte överlåtelser 1. som för att genomföras kräver tillstånd enligt lagen (1992:1300) om krigsmateriel eller lagen (2000:1064) om kontroll av produkter med dubbla användningsområden och av tekniskt bistånd, 2. mellan två myndigheter som anges i 7 kap. 1 § 1 eller vid samverkan på försvarsunderrättelseområdet, eller 3. av tillstånd eller del av tillstånd att använda radiosändare som kräver ett medgivande enligt 3 kap. 23 § lagen (2003:389) om elektronisk kommunikation. Förordning (2020:1008).

Samrådsmyndigheterna får inom sina respektive ansvarsområden meddela föreskrifter om verkställigheten av säkerhetsskyddslagen (2018:585) och av denna förordning i fråga om särskild säkerhetsskyddsbedömning, lämplighetsprövning och samråd inför överlåtelse av säkerhetskänslig verksamhet och viss egendom. Samrådsmyndigheterna ska ge varandra och myndigheterna som anges i 7 kap. 1 § 3-6 tillfälle att yttra sig innan föreskrifter meddelas. Förordning (2020:1008).

En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen om 1. en säkerhetsskyddsklassificerad uppgift kan ha röjts, 2. det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller 3. verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet. Om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde enligt 7 kap. 1 § första stycket 1, ska anmälan göras också till Försvarsmakten.

En verksamhetsutövare som är skyldig att anmäla säkerhetshotande händelser enligt 10 § första stycket 1 eller 2 och som tillhandahåller tjänster åt en annan verksamhetsutövare ska i samband med anmälan informera och vid behov samråda med de uppdragsgivare som berörs av incidenten. Vid anmälan enligt 10 § första stycket 1 eller 2 som rör säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt säkerhetsskyddsåtagande enligt 6 kap. 1 §, ska Säkerhetspolisen underrätta den myndighet som är nationell säkerhetsmyndighet enligt det internationella säkerhetsskyddsåtagandet.