Regeringen föreslår skärpta regler i säkerhetsskyddslagen (2018:585). Från den 1 juli 2026 får tillsynsmyndigheter utökade befogenheter att inleda tillsyn och kontrollera förfaranden inom säkerhetskänslig verksamhet, såsom upphandlingar, avtal och andra samarbeten. En ny anmälningsplikt ska även gälla från den 1 januari 2027, med sanktionsavgifter upp till 50 miljoner kronor.
Vilka omfattas av säkerhetsskyddslagen?
Säkerhetskänslig verksamhet omfattar verksamheter av betydelse för Sveriges säkerhet, exempelvis byggföretag som arbetar med viktig infrastruktur (såsom flygplatser, broar och tunnlar) och IT-företag som levererar telekommunikationssystem. Den som till någon del bedriver sådan säkerhetskänslig verksamhet är en verksamhetsutövare som omfattas av säkerhetsskyddslagen och ska bland annat säkerställa att spridning av konfidentiella uppgifter motverkas för att förhindra spioneri, sabotage och terroristbrott.
Nuvarande krav på anmälningsplikt och säkerhetsskyddsavtal
I december 2021 infördes krav på verksamhetsutövare som avser att genomföra förfaranden (såsom upphandlingar, avtal och samarbeten) där en annan aktör kan få tillgång till konfidentiella uppgifter. Parterna ska då ingå ett säkerhetsskyddsavtal efter samråd mellan verksamhetsutövaren och berörd tillsynsmyndighet. För sådana förfaranden kan tillsynsmyndigheterna även förelägga verksamhetsutövare att vidta åtgärder för att fullgöra sina skyldigheter enligt säkerhetsskyddslagen och vid bristande efterlevnad ålägga vite.
Föreslagna ändringar
I dagsläget faller vissa förfaranden utanför skyldigheten att ingå säkerhetsskyddsavtal, exempelvis avtal som ingåtts innan reglerna infördes 2021 eller verksamheter som först senare blivit säkerhetskänsliga. Tillsynsmyndigheterna saknar därmed möjlighet att utöva tillsyn och kontrollera sådana pågående förfaranden.
Det anses även finnas behov av att ge tillsynsmyndigheter möjlighet att omedelbart stoppa ett förfarande under tiden det utreds, eftersom sådana möjligheter tidigare saknats. Mot denna bakgrund föreslås nu skärpta regler i säkerhetsskyddslagen. Nedan redogörs för de mest väsentliga ändringarna.
Utökade befogenheter att ingripa i avtal och samarbeten
Från den 1 januari 2027 ska verksamhetsutövare anmäla samtliga pågående förfaranden till en tillsynsmyndighet om den andra aktören kan få tillgång till konfidentiella uppgifter. Redan från den 1 juli 2026 får tillsynsmyndigheterna utöva tillsyn och utfärda förelägganden mot sådana pågående förfaranden på samma sätt som för förfaranden som omfattas av krav på säkerhetsskyddsavtal.
Underlåtenhet att anmäla kan leda till sanktionsavgifter om lägst 25 000 kronor och högst 50 miljoner kronor.
Detta innebär exempelvis att ett IT-företag som 2019 ingått ett leveransavtal avseende telekommunikation – vilket skulle ha krävt säkerhetsskyddsavtal om det ingåtts efter 2021 – nu kan bli föremål för förelägganden från tillsynsmyndigheter och omfattas av anmälningsplikt med risk för sanktionsavgifter.
Möjlighet att omedelbart stoppa pågående avtal och andra förfaranden
Tillsynsmyndigheterna föreslås vidare få möjlighet att vid särskilda skäl besluta om interimistiska (tillfälliga) förelägganden som kan stoppa pågående förfaranden omedelbart, redan innan utredningen är slutförd.
Kravet på särskilda skäl innebär att det måste finnas objektivt godtagbara omständigheter. Den potentiella skadan för Sveriges säkerhet och risken för oåterkalleliga effekter ska vägas mot konsekvenserna för den som träffas av beslutet. Föreläggandena kan förenas med vite och överklagas.
Konsekvenser för berörda företag
De föreslagna ändringarna riskerar att medföra utökad myndighetskontroll på bekostnad av företagens handlingsfrihet. Den omfattande anmälningsplikten kan innebära en betydande administrativ börda.
Tillsynsmyndigheternas möjlighet att interimistiskt stoppa pågående samarbeten kan innebära att en part riskerar att begå avtalsbrott, om man inte tagit höjd för sådana situationer i avtalet.
Flera remissinstanser har även varnat för att begreppet ”särskilda skäl” riskerar att bli alltför vagt och brett, vilket kan skapa osäkerhet för bolagen. I lagrådsremissen framhålls att det är svårt att i förväg precisera vad som utgör särskilda skäl i ett enskilt fall, eftersom säkerhetsskyddsreglerna berör verksamheter i vitt skilda sektorer. Det kan därför vara svårt för bolag att förutse när tillsynsmyndigheter kan komma att ingripa.
Viktiga åtgärder inför de nya reglernas ikraftträdande
De föreslagna ändringarna medför omfattande administrativa krav och risker för sanktioner. Det är därför viktigt att bolag i god tid påbörjar arbetet med att inventera samtliga pågående upphandlingar, avtal och samarbeten för att bedöma om de kan omfattas av säkerhetsskyddslagen.
Har du frågor eller vill diskutera hur din verksamhet påverkas är du välkommen att kontakta Moll Wendén.