1. Sammanfattning

Skatteverket avstyrker utredningens förslag om

• en utökad dokumentation vid myndigheternas säkerhetsprövning och föreslår istället att dagens bestämmelse om dokumentation behålls oförändrad,
• en obegränsad rätt att anställa icke svenska medborgare och föreslår istället att lagen förtydligas med en ny bestämmelse som anger villkor för att anställa personer utan svenskt medborgarskap,
• benämningen informationssäkerhetsklasser som är missvisande när endast konfidentialitet beaktas och förslår istället benämningen säkerhetsskydds­klassificeringsnivå (i betänkandet förekommer kortformen klassificeringsnivå),
• att placering i säkerhetsklass ska vara enda möjliga förutsättningen för tystnadsplikt vid deltagande i säkerhetskänslig verksamhet och föreslår istället att tystnadsplikten ska vara så lika som möjligt för privatanställda och offentliganställda,
• obligatorisk märkning av sådana säkerhetsskyddsklassificerade handlingar som endast innehåller uppgifter i klassificeringsnivån Begränsad och föreslår istället att detta endast ska gälla vid utlämning till utländska myndigheter och leverantörer men i övrigt vara frivilligt,  
• att obligatoriska säkerhetsfunktioner i it-system för behandling av säkerhetsskydds­klassificerade handlingar anges i förordningen och hävdar istället att dessa bestämmelser är av sådan karaktär och detaljeringsgrad att de lämpligen ska finnas i myndighetsföreskrifter,
• att säkerhetsfunktioner för skydd mot röjande signaler ska krävas för it-system som endast behandlar uppgifter i klassificeringsnivån Begränsad,
• att kryptografiska funktioner för kommunikation av uppgifter i klassificeringsnivån Begränsad ska vara godkända av Försvarsmakten, samt
• att benämningen säkerhetsskyddschef används i förordningen.

Skatteverket föreslår även

• att regeringen låter utreda lämpliga former för samverkan när det gäller all tillsyn över statliga myndigheters informationssäkerhet inklusive säkerhetsskydd för att nå effektivitet och undvika dubbelarbete när tillsynsuppdragen överlappar varandra,
• att Säkerhetspolisen ska ges ett uttalat ansvar för stöd och råd om säkerhetsskydd till civila statliga myndigheter och för att tillhandahålla utbildning, samt
• att myndigheterna ska ges tillgång till ett modernt it-stöd för kommunikation med Säkerhetspolisen inklusive administration av registerkontroller.

Skatteverket saknar erforderliga kostnadsberäkningar och detta är en anledning till att verket avstyrker flera av utredarens förslag.

2. Övergripande synpunkter

Skatteverket välkomnar en förnyad, modernare och bredare säkerhetsskyddslagstiftning. Den bredare ansatsen för lagen är viktig för Skatteverket. Exempelvis att tillgänglighet till och riktighet hos information och it-system lyfts fram samt att lagens tillämpningsområde vidgas till att kunna skydda informationstillgångar i samhällsviktig verksamhet även då sekretess inte gäller.

Skatteverket lämnar här några övergripande synpunkter som rör begrepp, organisation samt myndigheters behov av it-stöd och rådgivning.

2.1 Begrepp och benämningar

Ett av problemen med nu gällande säkerhetsskyddslagstiftning har varit att de benämningar som används har ofta kunnat förväxlas med andra begrepp utanför lagstiftningen. Utred­ningen har i flera fall löst detta. Begrepp som säkerhetsskyddsanalys, säkerhetsskydds­åtagande och säkerhetsskyddsklassificerade uppgifter är exempel på nya tydliga och unika begreppskonstruktioner.

Tyvärr har detta inte slagit igenom helt konsekvent i alla begrepp och benämningar. Skatteverket förordar att flera benämningar ersätts med tydligare unika begrepp, exempelvis följande:

• Informationssäkerhetsklass ersätts med säkerhetsskyddsklassificeringsnivå (utredaren använder själv kortformen klassificeringsnivå i betänkandet).
• Säkerhetskänslig verksamhet ersätts med säkerhetsskyddskänslig verksamhet.
• Säkerhetsklass byts mot säkerhetsskyddsklass.

2.2 Ansvar och organisation för säkerhetsskydd

Utredningen betonar verksamhetschefens ansvar för säkerhetsskydd vilket är bra.

Skatteverket avstyrker att benämningen säkerhetsskyddschef används i förordningen. När det gäller krav på organisation förefaller utredningen vara vacklande. Benämningen säkerhetsskyddschef förekommer på två ställen i författningsförslaget men förekommer inte i betänkandet i övrigt. Om det behövs detaljer om rollers benämning kan dessa tas upp i myndighetsföreskrifter.

Skatteverket anser att bestämmelsen ska utformas mera allmänt för att fungera i alla organisationer som förordningen ska gälla för, exempelvis som följer.

2 §  Vid verksamhet som förordningen gäller för ska, om det inte är uppenbart obehövligt, utses en eller flera personer som leder och samordnar det praktiska arbetet med säkerhetsskydd, samt i övrigt tydliggöras roller och ansvar för säkerhetsskyddsarbetet i organisationen. I att leda och samordna det praktiska arbetet ingår att utöva kontroll över säkerhetsskyddet samt övriga uppgifter som följer av 2 kap. 2 och 4 §§ säkerhetsskydds­lagen(2017:xx) samt 7 kap. 14 § denna förordning.

2.3 Behov av it-stöd för registerkontrolladministration

Skatteverket vill framföra att nuvarande administration av registerkontroller och säkerhets­skyddsavtal inklusive kommunikationen med Säkerhetspolisen har brister. Dagens blankett­baserade lösning är varken effektiv, rättssäker eller ändamålsenlig. De myndigheter som så önskar bör snarast ges tillgång till ett modernt it-stöd för detta ändamål.

2.4 Behov av stöd och råd till civila myndigheter

Skatteverket anser att Säkerhetspolisen ska ges ett uttalat ansvar för stöd och råd om säkerhetsskydd till civila statliga myndigheter. I Säkerhetspolisens ansvar bör även ingå att tillhandahålla utbildning till myndigheternas säkerhetsskyddsorganisation men även utbildning riktad till berörda delar av myndigheternas ledning, personalorganisation, inköpsorganisation och it-organisation.

3. Synpunkter på vissa förslag

Skatteverket lämnar här synpunkter på vissa av utredningens förslag. Synpunkterna handlar främst om hur utredningens förslag ska kunna fungera effektivt ute på de berörda myndigheterna.

3.1 15.3 Informationssäkerhetsklasser – grunden för skydd av säkerhetsskyddsklassificerade uppgifter, sid. 329

Skatteverket har förståelse för valet av fyra klassificeringsnivåer och de svenska benämningarna även om dessa inte är självklara.

Skatteverket anser att benämningen informationssäkerhetsklasser är missvisande då endast en av informationssäkerhetens aspekter, nämligen konfidentialitet, beaktas. Skatteverket menar att en bättre benämning som tydligare speglar att detta endast rör säkerhetsskyddsklassificerade uppgifter bör vara benämningen säkerhetsskydds­klassificeringsnivå. Utredaren använder själv kortformen klassificeringsnivå i betänkandet.

3.2 Informationssäkerhetsklassernas betydelse för säkerhetsskyddsåtgärderna sid. 338

Skatteverket anser att utredarens förslag angående säkerhetsåtgärder för klassificeringsnivån Begränsad bör förenklas ytterligare. Det är viktigt att olika säkerhetsåtgärder för de fyra klassificeringsnivåerna är ändamålsenliga och proportionella.

Skatteverket tillstyrker utredarens förslag om att för klassificeringsnivån Begränsad behövs inte placering i säkerhetsklass eller tecknande av säkerhetsskyddsavtal.

Skatteverket avstyrker dock följande förslag som bedöms vara oproportionerliga för klassificeringsnivån Begränsad:

• Märkning av sådana säkerhetsskyddsklassificerade handlingar som endast innehåller uppgifter i klassificeringsnivån Begränsad (Förordningsförslaget 3:1).
• Skydd mot röjande signaler för it-system med endast uppgifter i klassificeringsnivån Begränsad (Förordningsförslaget 4:3).
• Kryptografiska funktioner som godkänts av Försvarsmakten för kommunikation av uppgifter i klassificeringsnivån Begränsad (Förordningsförslaget 4:4).

Skatteverket anser exempelvis att kravet om märkning av sådana säkerhetsskydds­klassificerade handlingar som endast innehåller uppgifter i klassificeringsnivån Begränsad ska endast gälla vid utlämning till utländska myndigheter och leverantörer men i övrigt vara frivillig.

3.3 16.4 Åtgärder inom informationssäkerheten sid. 358

Skatteverket avstyrker att bestämmelser om obligatoriska säkerhetsfunktioner i it-system för behandling av säkerhetsskyddsklassificerade handlingar anges direkt i förordningen (Förordningsförslaget 4:3). Dessa bestämmelser är av sådan karaktär och detaljeringsgrad att de lämpligen ska finnas i myndighetsföreskrifter från Säkerhetspolisen respektive Försvarsmakten. En enklare förordningsreglering kan medge att funktioner läggs till efter behov över tid och att kraven anpassas till klassificeringsnivåer. En enklare reglering ger även likformighet med styrningen inom fysisk säkerhet.

3.4 17.4 Åtgärder för fysisk säkerhet, sid. 367

Skatteverket tillstyrker att bestämmelser om funktioner för fysisk säkerhet inte anges direkt i förordningen. Dessa bestämmelser är av sådan karaktär och detaljeringsgrad att de bör finnas i myndighetsföreskrifter från Säkerhetspolisen respektive Försvarsmakten.

3.5 18.6 En ny grund för placering i säkerhetsklass, sid. 395

Skatteverket tillstyrker detta förslag.

3.6 18.7 Medborgarskapskravet i fråga om säkerhetsklassad anställning tas bort, sid. 400 -

Skatteverket instämmer i utredarens argument om att svenskt medborgarskap inte längre ska vara ett behörighetskrav för säkerhetsklassade anställningar.

Skatteverket avstyrker dock utredarens förslag om en obegränsad rätt att anställa icke svenska medborgare. Risken är att en sådan ordning kommer att medföra kraftigt utdragna rekryteringsprocesser som följd av långa ledtider vid kontakter med myndigheter i andra länder. I vissa fall tillkommer tid för översättning och tolkning av erhållen information, samt inte minst värdering av densamma. Skatteverket bedömer risken som stor att sökande till säkerhets­klassade tjänster kommer att falla bort i de fall processen drar ut på tiden. Skatteverket ser även en risk för diskriminering, då underlag från olika länder sannolikt ej är helt jämförbara samtidigt som de medger utrymme för tolkningar.

Skatteverket föreslår för att möjliggöra anställning av personer som saknar svenskt medborgarskap att lagen förtydligas med en ny bestämmelse i 3 kap. som för både myndigheter och arbetssökande anger tydliga villkor för att anställa personer utan svenskt medborgarskap. Villkoren bör vara att det finns effektivt utbyte mellan länder så att uppgifter lämnas i rimlig tid och att uppgifterna har en kvalitet som motsvarar uppgifter om en svensk medborgare. Följande är ett förslag till en sådan bestämmelse.

15 §  En person som inte är svensk medborgare kan ha en säkerhetsplacerad anställning vid staten, en kommun eller ett landsting endast om myndigheten kan genomföra bedömningen enligt 14 § inom rimlig tid och på motsvarande sätt som för en svensk medborgare.

3.7 18.12 Skyddet för uppgifter om enskildas personliga förhållanden, sid. 424

Skatteverket avstyrker förslagen om utökad dokumentation och föreslår att dagens bestämmelse om dokumentation behålls oförändrad.

I avsnittet En handläggningsfråga sidan 425 anges att handlingar inte längre ska återställas till Säkerhetspolisen. Detta medför viss ökad dokumenthantering för myndigheterna.

Skatteverket saknar i betänkandet motiveringar till och avgränsningar av det utökade dokumentationskravet i förslaget till ny säkerhetsskyddsförordning 5 kap. 4 § Säkerhetsprövningen ska dokumenteras. Detta är en utvidgning av dokumentationskraven jämfört med den nu gällande 38 § Myndigheter och andra som förordningen gäller för och som har beslutat om registerkontroll skall dokumentera resultatet av säkerhetsprövningen när det gäller en person som har bedömts vara pålitlig från säkerhetssynpunkt.

Skatteverket tolkar det nya kravet som att följande ska dokumenteras och bevaras enligt arkivreglerna:

1. Resultatet av säkerhetsprövningen när det gäller de personer som har bedömts vara pålitliga ur säkerhetssynpunkt (nuvarande dokumentation).
2. Resultatet av säkerhetsprövningen när det gäller de personer som har bedömts inte vara så pålitliga ur säkerhetssynpunkt att de får delta i en viss verksamhet där deltagande har placerats i säkerhetsklass (ny dokumentation).
3. Underlagen för myndighetens beslut enligt 1 och 2 ovan i form av grundutredning och resultat av registerkontroll (ny dokumentation).

Däremot hävdar Skatteverket att det trots det nya dokumentationskravet fortfarande måste vara möjligt att snarast gallra all dokumentation om avbrutna säkerhets­prövningar. Det avser de prövningar som på den sökandens eller myndighetens begäran avbryts innan register­kontroll görs. Det är vanligt att under en rekrytering inleds säkerhetsprövning av flera av de sökande men registerkontroll genomförs endast för en av de sökande. För myndighetens verksamhet har därefter dessa dokument ingen betydelse. För den berörda personen kan dessa dokument innebära tillgång till uppgifter som från integritets­synpunkt kan vara minst lika känsliga som uppgifter som lämnats ut efter registerkontroll.

3.8 21 Tillsyn, föreskrifter och rapportering, sid. 473 -

Utredningen redogör för ett antal brister när det gäller tillsyn inom säkerhetsskyddsområdet.  Skatteverket begränsar sitt yttrande i denna del till tillsynen avseende säkerhetsskydd hos civila statliga myndigheter. Säkerhetspolisens tillsynsuppdrag kvarstår här. Skatteverket anser att tillsynen inom hela informationssäkerhetsområdet inklusive säkerhetsskydd bör samordnas. Skatteverket vill framhålla följande i detta sammanhang.

Det förslag till Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23) som nu remissbehandlas föreslår, att Myndigheten för samhällsskydd och beredskap (MSB) får ett nytt tillsynsuppdrag som omfattar myndigheternas informationssäkerhet.

Därmed kan en förstärkt tillsyn innebära en ökad belastning och risk för dubbelarbete för många myndigheter som blir föremål för överlappande tillsyn från både Säkerhetspolisen och MSB inom informationssäkerhet. Det kan även tänkas att tillsyn från MSB i vissa fall kan hindras av sekretess med hänsyn till säkerhetsskydd och Sveriges säkerhet. En svaghet med förslaget är att den stödjande roll som MSB har kan försvagas om både den styrande rollen förstärks och en ny tillsynsroll tillkommer. Detta kan ske om MSB stegvis skulle anpassa sitt stöd utefter de nya uppdragen med utökad styrning och tillsyn. Detta skulle sannolikt orsaka en negativ effekt på informationssäkerhetsarbetet inom statsförvaltningen då det inte finns någon annan myndighet som stödjer myndigheterna i samma omfattning.

Skatteverkets alternativa förslag om tillsynssamverkan

Skatteverket bedömer att det krävs samverkan mellan tillsyn av statliga myndigheters informationssäkerhet och tillsyn av myndigheternas säkerhetsskydd. Även utredaren i SOU 2015:23 pekar på behovet av viss översyn i samband med behovet av samordning med sektorsvis tillsyn.

Skatteverket föreslår därför att regeringen låter utreda lämpliga former för samverkan när det gäller all tillsyn över statliga myndigheters informationssäkerhet inklusive säkerhetsskydd.

3.9 22.1 Tystnadsplikt vid deltagande i säkerhetskänslig verksamhet, sid. 501

Skatteverket tillstyrker införandet av en tystnadsplikt vid deltagande i säkerhetskänslig verksamhet.

Skatteverket avstyrker dock att enda möjliga förutsättningen för tystnadsplikten ska vara placering i säkerhetsklass. Tystnadspliktsförhållandena för privatanställda och offentliganställda bör vara så lika som möjligt när det handlar om samma arbetsuppgifter. Verket anser att föreslagen konstruktion kan medföra att i klassificeringsnivån Begränsad:

• kommer privatanställda att sakna tystnadsplikt när offentliganställda har det för samma uppgifter, alternativt
• kommer privatanställda att placeras i säkerhetsklass endast för att tystnadsplikt ska gälla medan offentliganställda inte placeras i säkerhetsklass för att hantera samma uppgifter.

Skatteverket anser därför att det behövs en kompletterande möjlighet till tystnadsplikt utöver placering i säkerhetsklass. Det skulle kunna vara en dokumenterad överenskommelse om tystnadsplikt med den enskilde privatanställde.

4. Synpunkter på konsekvensanalys

Utredaren anger att konsekvenserna är marginella förändringar. Skatteverket vill dock framhålla att de ambitionshöjningar som finns i utredningens förslag medför resursbehov som inte alltid är motiverade eller analyserade.

Skatteverket saknar erforderliga kostnadsberäkningar i utredningen. Skatteverket vill särskilt lyfta fram fyra områden där ökade kostnader kan undvikas eller minskas om andra beslut tas än de som utredaren föreslår:

1. Utredningens dokumentationskrav för samtliga säkerhetsprövade personer inklusive dokument som tillhandahållits av Säkerhetspolisen innebär att rutiner för hantering, lagring och gallring av en större mängd dokument behöver upprättas och tillämpas. Skatteverket utvecklar synpunkterna i avsnitt 3.7 ovan.
2. Vissa enligt Skatteverket oproportionerliga säkerhetsåtgärder för klassificeringsnivån Begränsad medför resursbehov. Dessa åtgärder beskrivs i avsnitt 3.2 ovan.
3. En obegränsad möjlighet att anställa personer som saknar svenskt medborgarskap bedöms medföra ökade rekryteringskostnader. Detta beskrivs i avsnitt 3.6 ovan.
4. Risken för överlappande tillsyn inom informationssäkerhet. Ett förslag till en utredning för att effektivisera tillsynen och undvika överlappning beskrivs i avsnitt 3.8 ovan.

5. Synpunkter på författningsförslagen

5.1 1.1 Förslag till säkerhetsskyddslag,  sid. 53 -

3 kap. 3 §

Skatteverket anser att i första stycket bör ordet inledande som nu används två gånger utgå ur bestämmelsen. Bestämmelsen blir lättare att förstå om det för förståelsen onödiga begreppet inledande säkerhetsprövning ersätts av begreppet säkerhetsprövning.

3 kap. 14 §

Skatteverket föreslår att denna bestämmelse kompletteras med en ny 15 § som för den offentliga sektorn anger förutsättningar för säkerhetsprövning av personer som saknar svenskt medborgarskap. Se verkets förslag ovan i avsnitt om 18.7 Medborgarskapskravet i fråga om säkerhetsklassad anställning tas bort. Verket föreslår följande bestämmelse:

15 §  En person som inte är svensk medborgare kan ha en säkerhetsplacerad anställning vid staten, en kommun eller ett landsting endast om myndigheten kan genomföra bedömningen enligt 14 § inom rimlig tid och på motsvarande sätt som för en svensk medborgare.

5.2 1.12 Förslag till säkerhetsskyddsförordning sid. 81 -

2 kap. 2 §

Skatteverket avstyrker den föreslagna bestämmelsens utformning. Skatteverket anser att bestämmelsen ska utformas mera allmänt för att fungera i alla organisationer som förordningen ska gälla för. Rollbenämningen säkerhetsskyddschef som inte används i betänkandet i övrigt bör utgå även ur förordningen. Skatteverket föreslår följande alternativa bestämmelse.

2 §  Vid verksamhet som förordningen gäller för ska, om det inte är uppenbart obehövligt, utses en eller flera personer som leder och samordnar det praktiska arbetet med säkerhetsskydd, samt i övrigt tydliggöras roller och ansvar för säkerhetsskyddsarbetet i organisationen. I att leda och samordna det praktiska arbetet ingår att utöva kontroll över säkerhetsskyddet samt övriga uppgifter som följer av 2 kap. 2 och 4 §§ säkerhetsskyddslagen(2017:xx) samt 7 kap. 14 § denna förordning.

3 kap. 1 §

Skatteverket avstyrker den föreslagna bestämmelsens utformning. Skatteverket anser att sådana säkerhetsskyddsklassificerade handlingar som endast innehåller uppgifter i klassificeringsnivån Begränsad ska inte behöva märkas annat än om handlingen kan antas komma att lämnas över till utländska myndigheter eller leverantörer.

4 kap. 3 §

Skatteverket avstyrker den föreslagna bestämmelsens utformning. Skatteverket anser att detaljbestämmelser om enskilda säkerhetsfunktioner ska inte anges i en förordning. Dessa bestämmelser är av sådan karaktär och detaljeringsgrad att de lämpligen ska finnas i myndighetsföreskrifter från Säkerhetspolisen respektive Försvarsmakten. Skatteverket föreslår därför följande alternativa utformning av bestämmelsen.

3 §  Ett it-system som av flera personer ska användas för behandling av säkerhetsskyddsklassificerade uppgifter ska vara försett med säkerhetsfunktioner som anges i Säkerhetspolisen föreskrifter eller, om det gäller verksamhet som hör till Försvarsmaktens tillsynsområde enligt 9 kap. 9 § 1, Försvarsmaktens föreskrifter.

Ett it-system enligt första stycket får inte tas i drift förrän det har ackrediterats av den för vars verksamhet systemet inrättas.

4 kap. 4 §

Skatteverket avstyrker den föreslagna bestämmelsens utformning vad gäller andra stycket. Skatteverket anser att detaljbestämmelser om enskilda säkerhetsfunktioner inte ska anges i en förordning. Dessa bestämmelser är av sådan karaktär och detaljeringsgrad att de lämpligen ska finnas i myndighetsföreskrifter från Säkerhetspolisen respektive Försvarsmakten.

5 kap. 4 §

Skatteverket avstyrker den föreslagna bestämmelsens utformning. Skatteverket anser att utredaren inte framfört tillräckligt starka motiv till kravet på utökad dokumentation vid myndigheterna och föreslår att dagens bestämmelse i 38 § om dokumentation av resultat av säkerhetsprövningen behålls oförändrad.

7 kap. 14 §

Skatteverket avstyrker att en rollbenämning används i bestämmelsen. Skatteverket anser att bestämmelsen ska utformas mera allmänt för att fungera i alla organisationer som förordningen ska gälla för. Uttrycket verksamhetens säkerhetsskyddschef kan exempelvis bytas ut mot verksamheten.

Remissvaret har beslutats av generaldirektören Ingemar Hansson. Vid den slutliga handläggningen deltog även överdirektören Helena Dyrssen, avdelningschefen Marie Carlsson, enhetschefen Peter Sävje, säkerhetschefen Lotta Oscarsson, verksamhets­controllern Torbjörn Johansson och säkerhetsstrategen Roland Jidrot, föredragande.