Genomgripande ändringar i säkerhetsskyddslagen, som medför utökade skyldigheter för verksamhetsutövare och ett omfattande sanktionssystem, föreslås träda i kraft redan 1 december 2021. Dessa lagändringar innebär nya och genomgripande krav på verksamheten för många företag, i synnerhet i ljuset av de kraftiga sanktioner som kan bli aktuella om skyldigheterna inte efterlevs.
Förslaget innebär i första hand att företag i större utsträckning än idag tvingas ta ställning till huruvida verksamheten är att betrakta som säkerhetskänslig. Detta är ett brett begrepp som kan inrymma en rad olika verksamheter inom exempelvis tillverkningsindustri, finansiella tjänster, infrastruktur och energisektorn. För de företag som sysslar med säkerhetskänslig verksamhet och som faller inom ramen för säkerhetsskyddslagens tillämpningsområde ställs omfattande krav på verksamheten. Exempelvis kommer många situationer att kräva att ett säkerhetsskyddsavtal ingås, vilket innebär att verksamhetsutövaren måste ta ställning till de långtgående och tidskrävande skyldigheter som sammanfaller med kraven på att genomföra en särskild säkerhetsskyddsbedömning och lämplighetsprövning samt i vissa fall ett samrådsförfarande med den aktuella myndigheten. Kravet på säkerhetsskyddsavtal påverkar också motparten i stor utsträckning, som bland annat måste genomföra säkerhetsprövning av personal.
Även transaktionsmarknaden påverkas markant av de föreslagna ändringarna. De sanktioner som tillsynsmyndigheten får använda sig av ställer kraven vid en överlåtelse av säkerhetskänslig verksamhet på sin spets. Utöver risken att en transaktion inte alls får genomföras, kan kännbara avgifter bli resultatet om överlåtelsekraven inte efterlevs.
Lagförslagets huvudpunkter kan sammanfattas enligt följande:
Anmälningsplikt för säkerhetskänsliga verksamheter. Den som till någon del bedriver säkerhetskänslig verksamhet ska utan dröjsmål anmäla detta till tillsynsmyndigheten när lagändringarna har trätt i kraft. Tillsyn av verksamheten kan komma att utövas oavsett om anmälningsplikten har uppfyllts eller inte, om tillsynsmyndigheten bedömer att aktören omfattas av säkerhetsskyddslagen.
Säkerhetsskyddschef. En verksamhet som omfattas av säkerhetsskyddslagen måste ha en säkerhetsskyddschef, såvida det inte är uppenbart obehövligt. Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt lagen och aktuella föreskrifter.
Fler förfaranden kräver säkerhetsskyddsavtal. Redan idag ska säkerhetsskyddsavtal ingås vid vissa upphandlingar som omfattar säkerhetsskyddsklassificerade uppgifter eller som ger leverantören tillgång till säkerhetskänslig verksamhet. De föreslagna ändringarna innebär en betydande utvidgning av kravet på säkerhetsskyddsavtal. Till skillnad mot nuvarande krav, där kravet på säkerhetsskyddsavtal utgår från vilken sorts avtal, samarbete eller samverkan det är fråga om och vilken roll i förfarandet som verksamhetsutövaren har, kommer kravet på säkerhetsskyddsavtal framöver att utgå från risken för exponering av den säkerhetskänsliga verksamheten.
Krav på särskild säkerhetsskyddsbedömning och samråd med tillsynsmyndighet. Innan ett säkerhetsskyddsavtal ingås måste verksamhetsutövaren genomföra en särskild säkerhetsskyddsbedömning för att identifiera de säkerhetsskyddsklassificerade uppgifter eller den säkerhetskänsliga verksamheten som motparten kan få tillgång till. Verksamhetsutövaren ska också göra en lämplighetsprövning av det planerade förfarandet. Vid vissa särskilt säkerhetskänsliga säkerhetsskyddsavtal är verksamhetsutövaren dessutom skyldig att samråda med en tillsynsmyndighet. Om ett förfarande är olämpligt ur säkerhetsskyddssynpunkt ska tillsynsmyndigheten få besluta att det inte får genomföras och även ingripa i ett sådant pågående förfarande.
Utökad tillsyn. Tillsynsmyndigheterna föreslås få nya tillsynsbefogenheter. Tillsynsmyndigheten ska få förelägga den som står under tillsyn att tillhandahålla information och ge myndigheten tillträde till lokaler och liknande. Ett sådant föreläggande ska få förenas med vite. Tillsynsmyndigheten ska även få begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder.
Sanktionssystem införs. Enligt lagförslaget ska en sanktionsavgift kunna tas ut av en verksamhetsutövare som har åsidosatt någon av de centrala skyldigheterna enligt säkerhetsskyddslagstiftningen. Det ska särskilt noteras att en sanktionsavgift också ska kunna påföras om de krav som gäller vid en överlåtelse av säkerhetskänslig verksamhet inte tillgodosetts, inklusive när en aktie- eller andelsägare inte har uppfyllt sin samrådsskyldighet med tillsynsmyndigheten, om denne har genomfört en överlåtelse i strid med ett förbud eller har lämnat oriktiga uppgifter i samband med samrådet. Sanktionsavgiften ska bestämmas till lägst 25 000 kronor och högst 50 miljoner kronor.