Säkerhetsskyddslagen – ytterligare förslag på ändringar

Den 16 september gick remisstiden ut för att kommentera på utredningen som presenterades i april 2025, i vilken det bland annat föreslås att en anmälningsplikt ska införas för pågående upphandlingar, avtal, samverkan och samarbeten som inte omfattas av krav på att ingå säkerhetsskyddsavtal.

Säkerhetsskyddslagen har varit föremål för många uppdateringar de senaste åren, inte minst mot bakgrund av det försämrade geopolitiska läget. Flera utredningar om uppdateringar av säkerhetsskyddslagen ligger på Regeringskansliets bord, bland annat ett förslag om att utvidga överlåtelsereglerna i säkerhetsskyddslagen till att omfatta överlåtelse av fast egendom och nu senast med förslag om hur kontrollen av skyddsvärd verksamhet kan stärkas.

Bakgrund

I april 2025 presenterades en ny utredning med förslag på ytterligare kompletteringar i säkerhetsskyddslagen (SOU 2025:42). Den 16 september gick remisstiden ut för att kommentera på utredningen. Utredningens förslag syftar till att skärpa säkerhetsskyddet genom utökad styrning och kontroll för tillsynsmyndigheterna men även till att öka kraven på de verksamhetsutövare som bedriver säkerhetskänslig verksamhet. Syftet är att lättare kunna upptäcka, avvärja och stoppa förfaranden som kan skada Sveriges säkerhet.

Ett av de centrala förslagen i utredningen är att det införs en särskild anmälningsplikt för vissa pågående förfaranden som inte omfattas av krav på att ingå säkerhetsskyddsavtal.

Idag kan tillsynsmyndigheterna ingripa i förfaranden som omfattas av krav på säkerhetsskyddsavtal med stöd av 4 kap. 12 § säkerhetsskyddslagen. Bestämmelsen möjliggör för tillsynsmyndigheterna att besluta om de förelägganden som behövs mot verksamhetsutövaren (som omfattas av säkerhetsskyddslagen) och den andra aktören i förfarandet för att förhindra skada för Sveriges säkerhet.

Det saknas dock möjlighet att ingripa mot bl.a. förfaranden som inleddes innan bestämmelsens ikraftträdande den 1 december 2021 men även mot förfaranden som inleddes innan verksamheten bedömdes vara säkerhetskänslig.

Utredningens förslag

Utredningen föreslår att ”pågående förfaranden” som inte omfattas av krav på att ingå säkerhetsskyddsavtal ska anmälas utan dröjsmål till relevant tillsynsmyndighet om dessa innebär att en annan aktör får del av säkerhetsskyddsklassificerade uppgifter i skyddsklass ”konfidentiell” eller högre. Med ”pågående förfaranden” avses upphandlingar, avtal, samverkan eller samarbeten.

Även förfaranden som innebär att den andra aktören på andra sätt får del av säkerhetskänslig verksamhet eller information av motsvarande betydelse ska anmälas. Om förfarandet istället omfattas av krav på att ingå säkerhetsskyddsavtal omfattas de inte av den föreslagna anmälningsplikten.

Anmälningsplikten gäller samtliga pågående förfaranden, dvs. även de som inleddes innan lagens ikraftträdande eller som inleddes innan verksamheten klassificerades som säkerhetskänslig. Även sådana pågående förfaranden kan innebära risker, varför det anses finnas ett behov att säkerställa att tillsynsmyndigheterna får kännedom om sådana förfaranden som kan vara problematiska från säkerhetsskyddssynpunkt. Det anses även vara av vikt att göra verksamhetsutövarna medvetna på risker med sådana äldre förfaranden som fortfarande pågår och att göra en översyn av vilka skyddsvärden som exponeras. 

Om anmälningsplikten inte efterlevs ska en administrativ sanktionsavgift om maximalt 50 miljoner kronor kunna utfärdas.

Samtidigt med anmälningsplikten föreslås att möjligheten för tillsynsmyndigheter att kunna ingripa mot förfaranden utvidgas genom att det tydliggörs att ingripandemöjligheten gäller oavsett när förfarandet inleddes och även om det inleddes innan verksamheten klassificerades som säkerhetskänslig. En tillsynsmyndighet ska alltså kunna förelägga en verksamhetsutövare att avsluta även ett sedan länge pågående förfarande om förfarandet bedöms som olämpligt ur säkerhetssynpunkt.

De närmare detaljerna om hur en anmälan ska hanteras ska regleras i föreskrifter från respektive tillsynsmyndighet.

Praktiska konsekvenser av förslagen

Införandet av en anmälningsplikt kommer att innebära att verksamhetsutövare behöver kartlägga vilka pågående förfaranden de har som inte är föremål för säkerhetsskyddsavtal, men som innebär att känsliga uppgifter delas. Efter en sådan kartläggning behöver en anmälan upprättas för vart och ett av de identifierade anmälningspliktiga förfarandena.

Eftersom de närmre detaljerna om hur anmälan ska gå till föreslås tas fram av tillsynsmyndigheterna är det ännu inte känt hur betungande anmälningsförfarandet kan tänkas bli i praktiken. Det stora arbetet för näringslivet torde dock bestå i skyldigheten att analysera samtliga pågående förfaranden och bedöma eventuell anmälningsplikt. 

Från myndighetshåll behöver tillsynsmyndigheterna också gå igenom de anmälningar som lämnas till myndigheten och ytterst överväga om en verksamhetsutövare ska föreläggas att vidta vissa åtgärder eller till och med avsluta ett pågående förförande om det behövs ur säkerhetsskyddssynpunkt, även om förfarandet har pågått under lång tid.

För att säkerställa fullt genomslag för de långgående skyldigheterna som utredningens förslag på anmälningsplikt innebär för verksamhetsutövare är det viktigt att lagstiftningen är tydlig och att tillsynsmyndigheterna finns tillgängliga för att ge vägledning till verksamhetsutövarna.