YTTRANDE (11)

Transkript

1 Datum Sida YTTRANDE (11) Ert dnr Ju 2015/ 2740/L4 Dnr EBM A-2015/0474 Justitiedepartementet Stockholm ju.registrator@regeringskansliet.se Yttrande över SOU 2015:25 En ny säkerhetsskyddslag Ekobrottsmyndigheten noterar att myndigheten undantagits som remissinstans i remissmissivet men vill ändå lämna sitt yttrande över rubricerat betänkande. Sammanfattning Det är positivt att säkerhetsskyddslagstiftningen ses över och flertalet av förslagen är bra. En övergripande och generell synpunkt är dock att den nya lagen med tillhörande förordning och arbetssätt, både teoretiskt och praktiskt fungerande måste hänga ihop med andra författningskrav och pågående utredningar inom angränsande områden, inte minst SOU 2015:23 Informations- och cybersäkerhet i Sverige och Förordning (2006:942) om krisberedskap och höjd beredskap. Ekobrottsmyndigheten tillstyrker i stort förslaget om ny säkerhetsskyddslag. Vissa kompletterande bestämmelser och förtydliganden är dock eftersträvansvärda. Detta gäller företrädesvis begreppet Sveriges säkerhet (vilket styr lagens tillämpning i praktiken) samt vilka förutsättningar som krävs för att godkänna en säkerhetsprövning av någon som saknar svenskt medborgarskap. När det gäller förslaget till ny säkerhetsskyddsförordning anser Ekobrottsmyndigheten att förordningen i några avseenden bör ta större hänsyn till kraven på effektiv och säker hantering i de verksamheter som har att tillämpa bestämmelserna. Ekobrottsmyndigheten vill särskilt framhålla behov av förenklingar och bättre stöd till myndigheterna. Vissa bestämmelser som behandlas i författningstexten bör exempelvis tas bort och istället omhändertas på föreskriftsnivå. Det är absolut avgörande för den kommande säkerhetsskyddslagstiftningens tillämpning vilka typer av sekretessreglerade uppgifter som ska anses falla in i kategorin säkerhetskyddsklassificerade uppgifter. Ekobrottsmyndigheten föreslår därför att avsnitt 13 i betänkandet kompletteras avsevärt i kommande beredning. Det bör också övervägas om begreppet Sveriges säkerhet kan ges en tydligare inramning i själva författningstexten. Det bör även förtydligas hur begreppet säkerhetskänslig verksamhet förhåller sig till samhällsviktig verksamhet. Fleminggatan 14 Box Stockholm Tel Fax

2 2 (11) Övergripande synpunkter Ekobrottsmyndigheten välkomnar en förnyad, modernare och något bredare säkerhetsskyddslagstiftning. Ett exempel på detta är att tillgänglighet till och riktighet hos information och IT-system lyfts fram samt att lagens tillämpningsområde vidgas till att kunna skydda informationstillgångar i samhällsviktig verksamhet även då sekretess inte gäller. Det är absolut avgörande för den kommande säkerhetsskyddslagstiftningens tillämpning vilka typer av sekretessreglerade uppgifter som ska anses falla in i kategorin säkerhetskyddsklassificerade uppgifter. För att avgöra detta krävs att vad som är av betydelse för Sveriges säkerhet eller internationella säkerhetsskyddsåtaganden på något sätt ramas in eller definieras. Nuvarande praxis innebär (i de flesta verksamheter) att endast uppgifter som omfattas av sekretess enligt 15 kap. OSL eller kap. OSL (om de rör utredning av brott mot rikets säkerhet) kan utgöra hemliga, eller kvalificerat hemliga, uppgifter (se regler för hantering av begäran om utlämnande av allmän handling i 1 OSF). Otydlighet i denna fråga riskerar att kullkasta arbetet med samordning och samsyn inom säkerhetsskyddsområdet samt kan leda till att mycket omfattande mängder information, inom exempelvis rättsväsendet, ges ett säkerhetsskydd i strid med lagstiftarens intentioner. Detta skulle i så fall medföra onödiga kostnader samt omotiverade integritetsingrepp. Ekobrottsmyndigheten föreslår därför att avsnitt 13 i betänkandet kompletteras avsevärt i kommande beredning, samt att resonemangen om den antagonistiska hotbilden som rekvisit utvecklas. Det bör också övervägas om begreppet Sveriges säkerhet kan ges en tydligare inramning i själva författningstexten. Det bör även förtydligas hur begreppet säkerhetskänslig verksamhet förhåller sig till samhällsviktig verksamhet. En översyn i samverkan mellan berörda ansvariga parter bör som minimum ske när det gäller den nya tänkta säkerhetsskyddslagen och ny tänkt förordning och föreskrift för myndigheters informationssäkerhet. Exempel på områden och frågeställningar som bör ses över är tänkta modeller och begrepp för informationsklassning, samt även användningen av andra begrepp exempelvis relaterat till incidenthantering.

3 3 (11) Synpunkter på övriga begrepp och benämningar Ett av problemen med nu gällande säkerhetsskyddslagstiftning har varit att de benämningar som används har ofta kunnat förväxlas med andra begrepp utanför lagstiftningen. Utredningen har i flera fall löst detta. Begrepp som säkerhetsskyddsanalys, säkerhetsskyddsåtagande och säkerhetsskyddsklassificerade uppgifter är exempel på nya tydliga och unika begreppskonstruktioner. Tyvärr har detta inte slagit igenom helt konsekvent i alla begrepp och benämningar. Ekobrottsmyndigheten förordar att flera benämningar ersätts med tydligare unika begrepp, exempelvis följande. Informationssäkerhetsklass ersätts med säkerhetsskyddsklassificeringsnivå (utredaren använder själv kortformen klassificeringsnivå i betänkandet) Säkerhetskänslig verksamhet ersätts med säkerhetsskyddskänslig verksamhet Säkerhetsklass byts mot säkerhetsskyddsklass Säkerhetsprövning byts mot säkerhetsskyddsprövning Ansvar och organisation för säkerhetsskydd Utredningen betonar verksamhetschefens ansvar för säkerhetsskydd vilket är bra. För att säkerställa att säkerhetsskyddet har ett tydligt mandat inom verksamheten bör säkerhetsskyddschefens förhållande till verksamhetsledningen vara beskriven i den nya förordningen på ett motsvarande sätt som 6 i nuvarande förordning. Ekobrottsmyndigheten välkomnar vidare ett förtydligande av vem som ska göra vad i en verksamhet som omfattas av lagstiftningen. De roller som kan utläsas är: Verksamheten (myndigheten) Säkerhetsskyddschefen Den som beslutar om anställning Den som är ansvarig för säkerhetskänslig verksamhet En möjlighet är att i författningstext beskriva rollerna. Ett annat alternativ är att i en bestämmelse ålägga de verksamheter som träffas av lagstiftningen att tydligt definiera ovan nämnda roller i interna föreskrifter. Ekobrottsmyndigheten förordar det senare.

4 4 (11) Behov av IT-stöd för registerkontrolladministration Ekobrottsmyndigheten vill framföra att nuvarande administration av registerkontroller och säkerhetsskyddsavtal inklusive kommunikationen med Säkerhetspolisen har brister. Dagens blankettbaserade lösning är varken effektiv, rättssäker eller ändamålsenlig. De myndigheter som så önskar bör snarast ges tillgång till ett modernt IT-stöd för detta ändamål. Behov av stöd och råd till civila myndigheter Ekobrottsmyndigheten anser att Säkerhetspolisen ska ges ett uttalat ansvar för stöd och råd om säkerhetsskydd till civila statliga myndigheter. I Säkerhetspolisens ansvar bör även ingå att tillhandahålla utbildning till myndigheternas säkerhetsskyddsorganisation men även utbildning riktad till berörda delar av myndigheternas ledning, personalorganisation, inköpsorganisation och IT-organisation. Synpunkter på vissa förslag Ekobrottsmyndigheten lämnar här synpunkter på vissa av utredningens förslag. Synpunkterna handlar främst om hur utredningens förslag ska kunna fungera effektivt ute på de berörda myndigheterna Ett säkerhetsskydd för det mest skyddsvärda, avsnittet Ett kvalificerat skyddsbehov, sid. 244f Ekobrottsmyndigheten anser inte att det framgår tillräckligt tydligt i författningarna att det endast är det som är det mest skyddsvärda och där det får allvarligast konsekvenser för landet som ska omfattas av lagstiftningen. Där det går i författningstexten bör detta därför lyftas fram. Vi anser också att man i utredningen genom fler exempel och djupare resonemang borde visa på vad som omfattas. Det behöver också tydliggöras gränsen mellan samhällsviktigt verksamhet och säkerhetsskyddslagstiftningen Inom vilka samhällssektorer finns särskilda skyddsvärda funktioner? sid. 294f Ekobrottsmyndigheten anser att det är av största betydelse att detta avsnitt utvecklas, exempelvis i propositionstext. Avsnittet har en mycket god ansats, och ger sannolikt den i underlaget bästa förklaringen till hur begreppet Sveriges säkerhet ska tolkas i praktiken. Att ta utgångspunkt i flera namngivna särskilt skyddsvärda funktioner har goda pedagogiska effekter. Dock är resonemangen alldeles för kortfattade.

5 5 (11) 13.3 Närmare om innehållet i säkerhetsskyddsanalysen, sid. 306f Det bör övervägas om detta avsnitt bör utgå från eller hänvisa till svenska och internationella standarder för riskanalys, exempelvis SIS/ISO Informationssäkerhetsklasser grunden för skydd av säkerhetsskyddsklassificerade uppgifter, sid. 329 Ekobrottsmyndigheten har förståelse för valet av fyra klassificeringsnivåer och de svenska benämningarna även om dessa inte är självklara. Ekobrottsmyndigheten har ovan anfört att benämningen informationssäkerhetsklasser är missvisande då endast en av informationssäkerhetens aspekter nämligen konfidentialitet beaktas. Ekobrottsmyndigheten menar att en bättre benämning som tydligare speglar att detta endast rör säkerhetsskyddsklassificerade uppgifter bör vara benämningen säkerhetsskyddsklassificeringsnivå. Utredaren använder själv kortformen klassificeringsnivå i betänkandet. Informationssäkerhetsklassernas betydelse för säkerhetsskyddsåtgärderna sid. 338 Ekobrottsmyndigheten anser att utredarens förslag angående säkerhetsåtgärder för klassificeringsnivån Begränsad bör förenklas ytterligare. Det är viktigt att olika säkerhetsåtgärder för de fyra klassificeringsnivåerna är ändamålsenliga och proportionella. Ekobrottsmyndigheten tillstyrker utredarens förslag om att för klassificeringsnivån Begränsad behövs inte placering i säkerhetsklass eller tecknande av säkerhetsskyddsavtal. Ekobrottsmyndigheten avstyrker dock följande förslag som bedöms vara oproportionerliga för klassificeringsnivån Begränsad. Märkning av sådana säkerhetsskyddsklassificerade handlingar som endast innehåller uppgifter i klassificeringsnivån Begränsad (Förordningsförslaget 3:1). Skydd mot röjande signaler för it-system med endast uppgifter i klassificeringsnivån Begränsad (Förordningsförslaget 4:3). Kryptografiska funktioner som godkänts av Försvarsmakten för kommunikation av uppgifter i klassificeringsnivån Begränsad (Förordningsförslaget 4:4). Ekobrottsmyndigheten anser exempelvis att kravet om märkning av sådana säkerhetsskyddsklassificerade handlingar som endast innehåller uppgifter i klassificeringsnivån Begränsad ska endast gälla vid utlämning till utländska myndigheter och leverantörer men i övrigt vara frivillig.

6 6 (11) 16.4 Åtgärder inom informationssäkerheten sid. 358 Ekobrottsmyndigheten avstyrker att bestämmelser om obligatoriska säkerhetsfunktioner i itsystem för behandling av säkerhetsskyddsklassificerade handlingar anges direkt i förordningen (Förordningsförslaget 4:3). Dessa bestämmelser är av sådan karaktär och detaljeringsgrad att de lämpligen ska finnas i myndighetsföreskrifter från Säkerhetspolisen respektive Försvarsmakten. En enklare förordningsreglering kan medge att funktioner läggs till efter behov över tid och att kraven anpassas till klassificeringsnivåer. En enklare reglering ger även likformighet med styrningen inom fysisk säkerhet Åtgärder för fysisk säkerhet, sid. 367 Ekobrottsmyndigheten tillstyrker att bestämmelser om funktioner för fysisk säkerhet inte anges direkt i förordningen. Dessa bestämmelser är av sådan karaktär och detaljeringsgrad att de bör finnas i myndighetsföreskrifter från Säkerhetspolisen respektive Försvarsmakten En ny grund för placering i säkerhetsklass, sid. 395 Ekobrottsmyndigheten tillstyrker detta förslag Medborgarskapskravet i fråga om säkerhetsklassad anställning tas bort, sid. 400f Det är positivt att kravet på svenskt medborgarskap tas bort. Dock är det mycket viktigt att tydligt lyfta fram det faktum att en säkerhetsprövning av en person inte kan godkännas om tillräckligt underlag inte kan inhämtas om personen på grund av längre utlandsvistelse eller liknande. Denna förutsättning bör framgå i alla sammanhang där kravet på medborgarskap kommuniceras och diskuteras. Frågan måste också kunna hanteras utifrån ett arbetsrättsligt och diskrimineringsperspektiv. Om detta inte sker är det Ekobrottsmyndighetens uppfattning bättre att kravet på svenskt medborgarskap finns kvar Skyddet för uppgifter om enskildas personliga förhållanden, sid. 424 Ekobrottsmyndigheten avstyrker förslagen om utökad dokumentation och föreslår att dagens bestämmelse om dokumentation behålls oförändrad. I avsnittet En handläggningsfråga sidan 425 anges att handlingar inte längre ska återställas till Säkerhetspolisen. Detta medför viss ökad dokumenthantering för myndigheterna. Ekobrottsmyndigheten saknar i betänkandet motiveringar till och avgränsningar av det utökade dokumentationskravet i förslaget till ny säkerhetsskyddsförordning 5 kap. 4 Säkerhetsprövningen ska dokumenteras. Detta är en utvidgning av dokumentationskraven jämfört med den nu gällande 38 Myndigheter och andra som förordningen gäller för och som har beslutat om registerkontroll skall dokumentera resultatet av säkerhetsprövningen när det gäller en person som har bedömts vara pålitlig från säkerhetssynpunkt.

7 7 (11) Ekobrottsmyndigheten tolkar det nya kravet som att följande ska dokumenteras och bevaras enligt arkivreglerna. 1. Resultatet av säkerhetsprövningen när det gäller de personer som har bedömts vara pålitliga ur säkerhetssynpunkt (nuvarande dokumentation). 2. Resultatet av säkerhetsprövningen när det gäller de personer som har bedömts inte vara så pålitliga ur säkerhetssynpunkt att de ska delta i en viss verksamhet där deltagande har placerats i säkerhetsklass (ny dokumentation). 3. Underlagen för myndighetens beslut enligt 1 och 2 ovan i form av grundutredning och resultat av registerkontroll (ny dokumentation). Däremot hävdar Ekobrottsmyndigheten att det trots det nya dokumentationskravet fortfarande måste vara möjligt att så snart som möjligt gallra all dokumentation om avbrutna säkerhetsprövningar. Det avser de prövningar som på den sökandens eller myndighetens begäran avbryts innan registerkontroll görs. Det är vanligt att under en rekrytering inleds säkerhetsprövning av flera av de sökande men registerkontroll genomförs endast för en av de sökande. För myndighetens verksamhet har därefter dessa dokument ingen betydelse. För den berörda personen kan dessa dokument innebära tillgång till uppgifter som från integritetssynpunkt kan vara minst lika känsliga som uppgifter som lämnats ut efter registerkontroll. 21 Tillsyn, föreskrifter och rapportering, sid. 473f Utredningen redogör för ett antal brister när det gäller tillsyn inom säkerhetsskyddsområdet. Ekobrottsmyndigheten begränsar sitt yttrande i denna del till tillsynen avseende säkerhetsskydd hos civila statliga myndigheter. Säkerhetspolisens tillsynsuppdrag kvarstår här. Ekobrottsmyndigheten anser att tillsynen inom hela informationssäkerhetsområdet inklusive säkerhetsskydd bör samordnas och förstärkas. Ekobrottsmyndigheten vill framhålla följande i detta sammanhang. Det förslag till Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten (SOU 2015:23) som nu remissbehandlas föreslår att Myndigheten för samhällsskydd och beredskap (MSB) får ett nytt tillsynsuppdrag som omfattar myndigheternas informationssäkerhet. Därmed kan en förstärkt tillsyn innebära en ökad belastning och risk för dubbelarbete för många myndigheter som blir föremål för överlappande tillsyn från både Säkerhetspolisen och MSB inom informationssäkerhetsområdet. Det kan även tänkas att tillsyn från MSB i vissa fall kan hindras av sekretess med hänsyn till säkerhetsskydd och Sveriges säkerhet. En svaghet med förslaget är att den stödjande roll som MSB har kan försvagas om både den styrande rollen förstärks och en ny tillsynsroll tillkommer. Detta kan ske om MSB stegvis skulle anpassa sitt stöd utefter de nya uppdragen med utökad styrning och tillsyn. Detta skulle sannolikt orsaka en negativ effekt på informationssäkerhetsarbetet inom

8 8 (11) statsförvaltningen då det inte finns någon annan myndighet som stödjer myndigheterna i samma omfattning. Betänkandet ger inte heller stöd för att övriga förslag skulle kompensera för effekten av uppdraget med tillsyn Tystnadsplikt vid deltagande i säkerhetskänslig verksamhet, sid. 501 Ekobrottsmyndigheten tillstyrker införandet av en tystnadsplikt vid deltagande i säkerhetskänslig verksamhet. Ekobrottsmyndigheten avstyrker dock att enda möjliga förutsättningen för tystnadsplikten ska vara placering i säkerhetsklass. Tystnadspliktsförhållandena för privatanställda och offentliganställda bör vara så lika som möjligt när det handlar om samma arbetsuppgifter. Myndigheten anser att föreslagen konstruktion kan medföra att i klassificeringsnivån Begränsad: kommer privatanställda att sakna tystnadsplikt när offentliganställda har det för samma uppgifter alternativt kommer privatanställda att placeras i säkerhetsklass endast för att tystnadsplikt ska gälla medan offentliganställda inte placeras i säkerhetsklass för att hantera samma uppgifter. Ekobrottsmyndigheten anser därför att det behövs en kompletterande möjlighet till tystnadsplikt utöver placering i säkerhetsklass. Det skulle kunna vara en dokumenterad överenskommelse om tystnadsplikt med den enskilde privatanställde. Synpunkter på konsekvensanalys Utredaren anger att konsekvenserna är marginella förändringar. Ekobrottsmyndigheten vill dock framhålla att de ambitionshöjningar som finns i utredningens förslag medför resursbehov som inte alltid är motiverade eller analyserade. Ekobrottsmyndigheten vill särskilt lyfta fram fyra områden där ökade resursbehov kan undvikas eller minskas om andra beslut tas än de som utredaren föreslår. 1. Utredningens dokumentationskrav för samtliga säkerhetsprövade personer inklusive dokument som tillhandahållits av Säkerhetspolisen innebär att rutiner för hantering, lagring och gallring av en större mängd dokument behöver upprättas och tillämpas. 2. Vissa enligt Ekobrottsmyndigheten oproportionerliga säkerhetsåtgärder för klassificeringsnivån Begränsad medför resursbehov. 3. En obegränsad möjlighet att anställa personer som saknar svenskt medborgarskap bedöms medföra ökade rekryteringskostnader. 4. Risken för överlappande tillsyn inom informationssäkerhet.

9 9 (11) Synpunkter på författningsförslagen 1.1 Förslag till säkerhetsskyddslag, sid. 53f 2 kap. 1 Förutom det förebyggande perspektivet bör det också finnas skrivningar om ett skadereducerande perspektiv i de tre punktsatserna. 2 kap. 3 Överväg om bestämmelsen kan kompletteras med en skrivning om hur informationsklassningen som process kan kopplas till en förtida medbedömning. 3 kap. 1 Begreppen inledande säkerhetsprövning, grundutredning, registerkontroll och särskild personutredning bör beskrivas tillsammans med övriga definitioner. Dock ska nämnas att så många begrepp inom området säkerhetsprövning riskerar att göra bestämmelsen otydligt. Det bör övervägas om skrivningarna kan förenklas genom att ta bort begreppet inledande säkerhetsprövning. 3 kap. 3 Överväg att ta bort begreppet inledande säkerhetsprövning. Alternativt bör begreppet förtydligas. Se kommentaren ovan angående 3 kap kap. 4 Ekobrottsmyndigheten noterar att nuvarande skrivning där en inplacering i klass 1 endast kräver att personen tar del av kvalificerat hemliga uppgifter i en omfattning som inte endast är ringa riskerar att öka andelen inplacerade i klass 1 markant. 3 kap. 14 Ekobrottsmyndigheten föreslår att denna bestämmelse kompletteras med en ny 15 som för den offentliga sektorn anger förutsättningar för säkerhetsprövning av personer som saknar svenskt medborgarskap. I övrigt se synpunkter på avsnitt 18.7 ovan. 5 kap. 2 Ekobrottsmyndigheten föreslår att meningen Tystnadsplikten gäller om anställningen eller deltagandet placerats i säkerhetsklass enligt 3 kap. 4.stryks. Det synes av vikt att bestämmelsen ska gälla även för den som inte placerats i säkerhetsklass men ändå fått tillgång till säkerhetsskyddsklassificerade uppgifter.

10 10 (11) 1.12 Förslag till säkerhetsskyddsförordning sid. 81f 2 kap. 2 Ekobrottsmyndigheten avstyrker den föreslagna bestämmelsens utformning. För att säkerställa att säkerhetsskyddet har ett tydligt mandat och roll inom verksamheten bör det i den nya förordningen istället finnas samma skrivningar som i 6 i nuvarande förordning. 2 kap. 4 Skrivningen annan säkerhetsansvarig bör bytas ut mot eller den som säkerhetsskyddschefen utser. 3 kap. 1 Ekobrottsmyndigheten avstyrker den föreslagna bestämmelsens utformning. Ekobrottsmyndigheten anser att sådana säkerhetsskyddsklassificerade handlingar som endast innehåller uppgifter i klassificeringsnivån Begränsad ska inte behöva märkas annat än om handlingen kan antas komma att lämnas över till utländska myndigheter eller leverantörer. 4 kap. 3 Ekobrottsmyndigheten anser att det är tveksamt om detaljbestämmelser om enskilda säkerhetsfunktioner ska anges i en förordning. De föreslagna bestämmelserna är av sådan karaktär och detaljeringsgrad att det bör övervägas om de istället ska hänföras till myndighetsföreskrifter från Säkerhetspolisen respektive Försvarsmakten. 4 kap. 4 Ekobrottsmyndigheten anser att det är tveksamt om detaljbestämmelser om enskilda säkerhetsfunktioner ska anges i en förordning. De föreslagna bestämmelserna är av sådan karaktär och detaljeringsgrad att det bör övervägas om de istället ska hänföras till myndighetsföreskrifter från Säkerhetspolisen respektive Försvarsmakten. 4 kap. 5 Beroende på vilken typ av information som kan betraktas som säkerhetsskyddsklassificerad (se övergripande synpunkt) så kan information om grov organiserad brottslighet som delges inom EU komma att innebära stor belastning på Utrikesdepartementets kurirförbindelser. 5 kap. 4 Ekobrottsmyndigheten avstyrker den föreslagna bestämmelsens utformning. Ekobrottsmyndigheten anser att utredaren inte framfört tillräckligt starka motiv till kravet på utökad dokumentation vid myndigheterna och föreslår att dagens bestämmelse i 38 om dokumentation av resultat av säkerhetsprövningen behålls oförändrad.

11 11 (11) 7 kap. 14 Ekobrottsmyndigheten anser att skrivningen verksamhetens säkerhetsskyddschef bör bytas ut mot verksamhetens säkerhetsskyddschef, eller den säkerhetsskyddschefen bestämmer. 9 kap. Ekobrottsmyndigheten anser att Säkerhetspolisen och Försvarsmakten bör ha ett uttalat ansvar för att utbilda säkerhetsskyddschefer samt annan personal av vikt för säkerhetsskyddets upprätthållare, exempelvis chefer i verksamhetsledande ställning, HRpersonal, upphandlare och IT-personal. Detta yttrande har beslutats av generaldirektören. I ärendets slutliga handläggning har chefsjuristen Lena Lindgren Schelin och verksamhetsskyddschef Carl Hedin deltagit. Verksamhetsskyddschef Carl Hedin har varit föredragande. Eva Fröjelin Carl Hedin Kopia till Justitiedepartementet/Å