Säkerhetsskyddsavtal

En grundläggande princip inom säkerhetsskydd är att säkerhetskänslig verksamhet ska ha samma skydd oavsett var och hur den bedrivs. Säkerhetsskyddsavtal ska generellt sett tecknas i alla situationer där säkerhetskänslig verksamhet av en viss nivå kan komma att exponeras. 

Inför tecknandet av vissa säkerhetsskyddsavtal behöver samråd ske med Strålsäkerhetsmyndigheten.

Ett säkerhetsskyddsavtal kan bland annat innehålla krav på

  • säkerhetsskyddsorganisation
  • förekomst av säkerhetsskyddinstruktion
  • informationssäkerhet
  • fysisk säkerhet
  • personalsäkerhet inklusive utbildning
  • fördelning av kostnaderna för säkerhetsskyddet
  • sekretess och tystnadsplikt

När ska säkerhetsskyddsavtal tecknas?

Om en verksamhetsutövare ska genomföra en upphandling, ingå avtal eller inleda samverkan eller samarbete med en annan aktör kan ett säkerhetsskyddsavtal behöva ingås med den aktören. Säkerhetsskyddsavtal ska tecknas om aktören genom förfarandet kan få tillgång till

  • säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, i enskild eller aggregerad form, alternativt
  • annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet i enskild eller aggregerad form (konsekvensnivå C–A).

Säkerhetsskyddsavtal ska alltid upprättas innan deltagande i säkerhetskänslig verksamhet. Ett säkerhetsskyddsavtal är en förutsättning för att kunna säkerhetspröva personal.

Säkerhetsskyddsavtal ska även tecknas med eventuella underleverantörer som aktören avser anlita.

Strålsäkerhetsmyndigheten får genomföra tillsyn även hos de aktörer som verksamhetsutövaren har tecknat säkerhetsskyddsavtal med.

Undantag för när säkerhetsskyddsavtal behöver tecknas återfinns i 6 kap. säkerhetsskyddsförordningen.

Säkerhetsskyddsbedömning och lämplighetsprövning

Innan ett förfarande som kräver säkerhetsskyddsavtal inleds ska alltid en särskild säkerhetsskyddsbedömning och lämplighetsprövning genomföras. Dessa ska dokumenteras och bör lämpligen bifogas vid ansökan om att ingå säkerhetsskyddsavtal i nivå 1 eller vid förfaranden med krav på samråd.

Den särskilda säkerhetsskyddsbedömningen ska bland annat identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken i övrigt säkerhetskänslig verksamhet som finns (exempelvis anläggningar, objekt, system, egendom eller andra tillgångar som är av betydelse för Sveriges säkerhet) som motparten kan komma i kontakt med genom deltagande i den säkerhetskänsliga verksamheten.

För att Strålsäkerhetsmyndigheten ska kunna bedöma underlaget är det viktigt att bedömningar tydligt skrivs ut. Till exempel behöver det finnas en tydlig koppling mellan skyddsvärde, säkerhetshot, sårbarheter och säkerhetsskyddsåtgärder.

Därefter ska en prövning göras av om det planerade förfarandet är lämpligt ur säkerhetsskyddssynpunkt. Om lämplighetsprövningen leder fram till bedömningen att det planerade förfarandet är olämpligt så får det inte inledas.

Ett förfarande kan vara olämpligt om det inte är möjligt att genomföra säkerhetsprövning av personalen hos den tänkta motparten, eller att det i verksamheten förekommer säkerhetsskyddsklassificerade uppgifter som är så känsliga att det inte under några förhållanden är lämpligt att de förvaras utanför verksamhetsutövarens lokaler.

Det kan också vara så att den tänkta motparten inte uppfyller de krav på tillförlitlighet som måste ställas när det är fråga om säkerhetskänslig verksamhet, exempelvis på grund av dennes ägarförhållanden (prop. 2020/21:194 s. 52 och 62). 

Anmäl avsikt att teckna säkerhetsskyddsavtal

Verksamhetsutövare ska anmäla sin avsikt att ingå säkerhetsskyddsavtal till Strålsäkerhetsmyndigheten. För detta används blanketten Anmälan om avsikt att teckna säkerhetsskyddsavtal. När säkerhetsskyddsavtalet har ingåtts ska verksamhetsutövaren även anmäla detta till Säkerhetspolisen, vilket görs på en separat blankett, Underlag för säkerhetsskyddsavtal.

När ansökan om registerkontroller som tillhör det aktuella uppdraget skickas in måste samma säkerhetsskyddsavtalsbenämning anges.

Samråd om säkerhetsskyddsavtal

Om det efter lämplighetsprövningen kan konstateras att det planerade förfarandet inte är olämpligt ur säkerhetsskyddssynpunkt ska samråd ske med Strålsäkerhetsmyndigheten innan förfarandet inleds.

Förfarande som avser delning av säkerhetsskyddsklassificerade uppgifter som i enskild eller aggregerad form uppnår säkerhetsskyddsklass Hemlig eller för förfaranden som uppnår konsekvensnivå B ska föregås av samråd med Strålsäkerhetsmyndigheten.

Verksamhetsutövare med flera tillsynsmyndigheter kan behöva samråda med flera av dem.

Strålsäkerhetsmyndigheten ska alltid ta del av följande underlag i samrådsärendet:

  • Blankett Anmälan om samråd vid säkerhetskyddsavtal
  • Särskild säkerhetsskyddsbedömning
  • Lämplighetsprövning
  • Utkast till säkerhetsskyddsavtal
  • Eventuell kravställning för säkerhetsskydd i upphandlingen om detta är tillämpligt för det aktuella förfarandet
  • Information om motparten.

Strålsäkerhetsmyndigheten kan förelägga verksamhetsutövare inom tillsynsområdet att vidta åtgärder enligt säkerhetsskyddslagstiftningen.

Om verksamhetsutövaren underlåter att initiera samråd med Strålsäkerhetsmyndigheten, trots att det finns en skyldighet att göra det, har Strålsäkerhetsmyndigheten rätt att inleda samrådet.

Om en verksamhetsutövare inte följer förelägganden eller om Strålsäkerhetsmyndigheten bedömer att det planerade förfarande inte är lämpligt ur säkerhetsskyddssynpunkt trots att ytterligare åtgärder vidtagits, får Strålsäkerhetsmyndigheten besluta att det planerade säkerhetsskyddsavtalet inte får ingås (förbud).

När säkerhetsskyddsavtal är tecknat

När ett säkerhetsskyddsavtal är tecknat eller avslutat ska detta utan dröjsmål anmälas till Strålsäkerhetsmyndigheten. Strålsäkerhetsmyndigheten ska skyndsamt vidarebefordra anmälan till Säkerhetspolisen.

Fyll i Säkerhetspolisens blankett Underlag för säkerhetsskyddsavtal och skicka den till:

Strålsäkerhetsmyndigheten
Enhet B-SK
171 16 Solna

Verksamhetsutövaren är skyldig att kontrollera leverantörens efterlevnad av villkoren i säkerhetsskyddsavtalet, att utföra regelbunden kontroll av leverantörens säkerhetsskydd samt för utbildning av leverantörens personal.

Verksamhetsutövaren ska också revidera avtalet om det krävs på grund av ändrade förhållanden, exempelvis förändrad hotbild. Om motparten inte följer säkerhetsskyddsavtalet ska ni vidta de åtgärder som behövs för att tillgodose kraven på säkerhetsskydd.