Regelrådet är ett särskilt beslutsorgan inom Tillväxtverket vars ledamöter utses av regeringen. Regelrådet ansvarar för sina egna beslut. Regelrådets uppgifter är att granska och yttra sig över kvaliteten på konsekvensutredningar till författningsförslag som kan få effekter av betydelse för företag. Justitiedepartementet 103 33 Stockholm Yttrande över En ny säkerhetsskyddslag (SOU 2015:25) Regelrådets ställningstagande Regelrådet finner att konsekvensutredningen inte uppfyller kraven i 6 och 7 förordningen (2007:1244) om konsekvensutredning vid regelgivning. Innehållet i förslaget Betänkandet innehåller förslag på en ny säkerhetsskyddslag och en ny säkerhetsskyddsförordning. Förslaget bygger till stor del på nuvarande lagstiftning med samma namn. Bakom arbetet med att föreslå en ny säkerhetsskyddslagstiftning finns en ambition att modernisera och skapa ett regelverk som ger bra förutsättningar för ett väl anpassat, effektivt säkerhetsskydd. Detta skydd ska samtidigt vara flexibelt över tid, kunna möta skiftande förhållanden och utgöra ett stöd för internationell samverkan på säkerhetsskyddsområdet. Säkerhetsskydd ska enligt nuvarande reglering finnas i den omfattning som behövs vid verksamhet hos staten, kommunerna, och landstingen, hos juridiska personer som staten, kommunerna eller landstingen utövar ett rättsligt bestämmande inflytande över samt hos enskilda, om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. De aktörer och verksamheter som ska ha ett säkerhetsskydd enligt den föreslagna lagen är desamma vilket innebär att också företag kan omfattas av lagen. Den föreslagna regleringen innebär enligt vad som framgår av betänkandet en breddning av skyddet för informationstillgångar genom att tillgänglighets- och riktighetsaspekter av information och IT-system lyfts fram. Tillgänglighetsperspektivet illustreras i betänkandet som ett avbrott i övervakningssystem i ett kärnkraftverk medan riktighetsperspektivet illustreras som en felfunktion i styrkommandon för dammluckor i ett större vattenkraftverk. Nuvarande reglerings tillämpningsområde för skydd för informationstillgångar i samhällsviktig verksamhet utgår från ett konfidentialitetsperspektiv. Förslaget innebär också införandet av ett säkerhetsskydd uppbyggt på fyra informationssäkerhetsklasser efter internationell modell. Klasserna påverkar de säkerhetsskyddsåtgärder som ska utformas inom informationssäkerhet, fysisk säkerhet och personalsäkerhet. Ytterligare förändringar är att vad verksamhetsansvaret i fråga om säkerhetsskydd förtydligas. Den nya säkerhetsskyddslagen ska också på ett tydligare sätt än idag ge stöd för internationella säkerhetsskyddsåtaganden och internationell samverkan. Detta bl.a. genom att möjligheten att utfärda säkerhetsintyg för personer och leverantörer införs i lagen. Utöver den nya säkerhetsskyddsregleringen föreslås också följdändringar i ett stort antal andra författningar. Säkerhetsskyddsregleringen föreslås träda i kraft den 1 januari 2017. Postadress Webbplats E-post 1/5
Skälen för Regelrådets ställningstagande Syftet med förslaget Det anges på ett sammanfattande sätt i betänkandets konsekvensutredningsavsnitt att syftet med förslaget är att modernisera säkerhetsskyddslagstiftningen. Detta för att säkerställa säkerhetsskyddet för verksamheter hos staten, kommuner, landsting och enskilda som är av betydelse för Sveriges säkerhet, eller som omfattas av ett för Sverige, i förhållande till annan stat eller mellanfolklig organisation, förpliktigande åtagande om säkerhetsskydd. Det anges vidare att fler enskilda aktörer är i allt större omfattning ansvariga för samhällsviktiga funktioner. En breddad hotbild och ökad sårbarhet hos många vitala samhällsfunktioner anges nödvändiggöra att särskilt informationsteknikområdet i den säkerhetskänsliga verksamheten får ett vidare tillämpningsområde. Den nya lagen syftar vidare till enligt vad som anges att underlätta internationell samverkan på säkerhetsskyddsområdet. Detta visas bland annat genom att möjligheten att utfärda s.k. säkerhetsintyg för enskilda utökas. Sådant intyg kan enskilda och leverantörer vara i behov av för att kunna delta i säkerhetskänslig verksamhet i andra länder och mellanfolkliga organisationer. Mer detaljerade resonemang avseende syftet finns dels redogjorda för i de avsnitt i betänkandet där förslagen presenteras, dels i avsnitt i betänkandet där exempelvis aktuell hotbild och förändringsfaktorer beskrivs. Regelrådet finner beskrivningen av syftet med förslaget godtagbar. Alternativa lösningar och effekter av om ingen reglering kommer till stånd Vad gäller en sammanfattande beskrivning i konsekvensutredningsavsnittet om resonemang kring alternativa lösningar så saknas en sådan. För att få en uppfattning om eventuella alternativa lösningar som övervägts i utredningen hittas sådana i de delar av betänkanden där de olika förslagen i säkerhetsskyddslagen presenteras. Regelrådet saknar en sammanfattande redogörelse kring alternativa lösningar i konsekvensutredningsavsnittet där frågor som handlingsutrymme och överväganden funnits med. Det saknas också en uttrycklig beskrivning av effekterna om ingen reglering kommer till stånd. Regelrådet finner beskrivningen av alternativa lösningar och effekter om ingen reglering kommer till stånd som bristfällig. Förslagets överenstämmelse med EU-rätten I konsekvensutredningsavsnittet i betänkandet finns det angivet att en ny säkerhetsskyddslag inte påverkar Sveriges åtaganden som medlemsstat i EU. Någon motivering till detta finns inte. Regelrådet finner, trots att det endast tagits upp kortfattat, beskrivningen av förslagets överensstämmelse med EU-rätten godtagbar. Särskild hänsyn till tidpunkt för ikraftträdande och behov av speciella informationsinsatser Säkerhetsskyddslagen och säkerhetsskyddsförordningen bör enligt vad som anges i konsekvensutredningsavsnittet träda i kraft den 1 januari 2017. Någon motivering till valet av ikraftträdandedatum finns inte. För att minska framför allt administrativa effekter av en ny reglering föreslås övergångsbestämmelser avseende bl.a. märkning av hemliga uppgifter och innebörden av pågående deltagande i säkerhetsklass. Postadress Webbplats E-post 2/5
Information om behovet av speciella informationsinsatser saknas. Om det inte föreligger behov av speciella informationsinsatser ska detta anges och motiveras. Regelrådet finner beskrivningen av särskild hänsyn till tidpunkten för ikraftträdande och behov av speciella informationsinsatser bristfällig. Berörda företag utifrån antal, storlek och bransch Den föreslagna lagen omfattar bl.a. sådan verksamhet hos enskilda som är av betydelse för Sveriges säkerhet eller omfattas av ett internationellt säkerhetsskyddsåtagande. I konsekvensutredningsavsnittet finns det beskrivet att fler enskilda aktörer i allt större omfattning ansvarar för samhällsviktiga verksamheter men det finns inte någon redogörelse för vilka dessa verksamheter är, vilka branscher de kommer från, deras storlek eller deras antal. Enstaka exempel på företag ges på olika platser i betänkandet såsom exempelvis verksamhet inom kärn- och vattenkraft eller flygfart. Den föreslagna lagens tillämpningsområde är mycket stort och Regelrådet kan förstå svårigheten i att ringa in och i detalj beskriva alla de olika företag som omfattas av säkerhetsskyddslagstiftningen. Regelrådet hade dock velat se en ansats i konsekvensutredningsavsnittet där det ges information om särskilda branscher och verksamheter som mer eller mindre sannolikt berörs av förslaget. Genom sådan exemplifiering är det Regelrådet uppfattning att en tydligare bild av berörda företag hade förmedlats. Det anges i betänkandet vissa delar i den föreslagna säkerhetsskyddslagen som är nya jämfört med nuvarande reglering. Regelrådet hade velat se att i vart fall de företag som särskilt berörs av dessa förändringar hade blivit beskrivna utförligare. Som exempel hade verksamheter som enligt utredningen bedömdes vara intresserade av säkerhetsintyg p.g.a. internationell verksamhet kunnat beskrivas. Regelrådet finner beskrivningen av berörda företag bristfällig. Påverkan på berörda företags kostnader, tidsåtgång och verksamhet Administrativa kostnader Av konsekvensutredningsavsnittet framgår det att de kostnadsmässiga effekterna av förslaget inte bör bli annat än marginella för berörda företag. Detta motiveras av flera anledningar. Bland annat anges det att många av de ändringar som föreslås består av förtydliganden och att krav i de flesta fall redan är uppfyllda hos de som berörs. Vad gäller bedömningen att breddningen av skyddet för informationstillgångar inte får några större effekter motiveras det genom att synsättet med riktighetsoch tillgänglighetsaspekter i sak inte är något nytt. Stora delar av den samhällsviktiga verksamheten anges tillämpa, frivilligt eller med stöd av föreskrifter från Myndigheten för samhällsskydd och beredskap, internationella standarder där dessa aspekter omfattas. Faktumet att det föreligger kommersiella skäl till att ha en god informationssäkerhet anges också som ett argument till att de företag som träffas av den föreslagna breddningen redan i praktiken tillämpar kraven. I de fall det ändå behöver göras anpassningar till följd av krav på IT-system anges att kostnader för IT är relativt höga och den extrakostnad som tillkommer p.g.a. förslaget är marginell och med viss säkerhet kan bedömas som betydelselös. Vad gäller det administrativa momentet för en leverantör att söka efter ett s.k. säkerhetsintyg anges inget i konsekvensutredningen. Att ansöka om intyget är dock frivilligt. Beräkningar av administrativa kostnader finns inte i konsekvensutredningen. Någon särskild distinktion mellan administrativa kostnader och andra kostnader görs inte vilket försvårar Regelrådets bedömning av kostnadsbeskrivningarna. Regelrådet anser vidare att de kostnadsbeskrivningar som görs är väl summariska och generaliserade. En tydligare distinktion mellan Postadress Webbplats E-post 3/5
vilka företag som troligen inte kommer att få någon tillkommande kostnad och dem som eventuellt får det hade underlättat bedömningen. Regelrådet saknar också motivering till varför det inte angivits mer i detalj vad det administrativa momentet att söka om säkerhetsintyg innebär för ett ansökande företags kostnader. Den bedömning som görs i betänkandet angående kostnadsförändringen är tydlig. Däremot är det inte för Regelrådet tydligt motiverat att det som anges behöver gälla för samtliga berörda. Regelrådet finner beskrivningen av de administrativa kostnaderna bristfällig. Andra kostnader Som redan angivits ovan görs det i konsekvensutredningen inte någon distinktion mellan olika typer av kostnader. En kostnad som tillkommer till följd av förslaget är den avgift som den nationella industrisäkerhetsmyndigheten (Försvarets materielverk) får ta ut i samband med ansökan om säkerhetsintyg. Denna avgift ska täcka myndighetens utredning för att bedöma ansökan om säkerhetsintyg. Ett exempel hämtas från Finland där avgiften för att få en ansökan om säkerhetsintyg behandlad kostar 10 000 euro. Regelrådet anser att det i konsekvensutredningen hade kunnat ges mer information om faktorer som styr omfattningen på en myndighets hantering av en ansökan och därmed storleken på avgiften. Det hade också kunnat ges mer detaljerade beskrivningar, bl.a. genom exempel, om kostnaderna för ITutveckling då dessa nu endast beskrivs som marginella för de berörda. Regelrådet efterfrågar konsekvensbeskrivningar som utgår från olika företags förutsättningar och inte sammanför hela företagskollektiv utan att tydligt motivera varför en sådan ansats är rimlig. Den bedömning som görs i betänkandet angående kostnadsförändringen är tydlig. Däremot är det inte för Regelrådet tydligt motiverat att det som anges behöver gälla för samtliga berörda. Regelrådet finner beskrivningen av andra kostnader bristfällig. Påverkan på konkurrensförhållandena för berörda företag Någon beskrivning om påverkan på konkurrensförhållanden finns inte i det avsnitt i betänkandet där konsekvenserna av förslaget anges. Om det föreslag som utredningen presenterar inte får någon påverkan ska det enligt Regelrådet anges och motiveras. Det är vidare Regelrådets uppfattning att det sannolikt är så att förslaget får viss konkurrenspåverkan, detta gäller särskilt delarna om säkerhetsintyg. Det ter sig som troligt att systemet med säkerhetsintyg genom förslaget förbättras och därmed ökar svenska företags möjlighet att konkurrera om utländska kontrakt. Regelrådet anser att konsekvensutredningen borde ha belyst detta. Regelrådet finner beskrivningen av påverkan på konkurrensförhållandena bristfällig. Regleringens påverkan på företagen i andra avseenden Konsekvensutredningen saknar en redovisning av regleringens påverkan på företagen i andra avseenden. Om den föreslagna regleringen inte påverkar företagen i andra avseenden ska detta anges och motiveras. Enligt Regelrådet är redovisningen av regleringens påverkan på företagen i andra avseenden bristfällig. Särskild hänsyn till små företag vid reglernas utformning Det framgår i konsekvensutredningsavsnittet i betänkandet att förslagen inte bedöms ha någon påverkan på små företags arbetsförutsättningar, konkurrensförmåga eller villkor i övrigt i förhållande till Postadress Webbplats E-post 4/5
större företag. Motiven bakom denna bedömning anges däremot inte. Huruvida särskild hänsyn tagits, eller ansetts ha behövt tas, till små företag vid reglernas utformning framgår inte. Regelrådet finner att beskrivningen är bristfällig. Sammantagen bedömning Betänkandet innehåller delar som av Regelrådet anses som godtagbara. Häribland märks beskrivningen av syftet med förslaget och överensstämmelse med EU-rätt. Däremot är beskrivningen av berörda företag i princip obefintlig vilket också får effekten att övriga beskrivningar av konsekvenser för företag såsom kostnadsförändringar och konkurrenspåverkan blir lidande och av Regelrådet bedöms som bristfälliga. Det är tydligt att utredningen bedömer att kostnaderna för företag p.g.a. förslaget är marginella. För Regelrådet hade det dock behövts mer genomarbetade konsekvensbeskrivningar utifrån olika typer av berörda företag, gärna kombinerat med exempel, för att godtagbara bedömningar hade varit aktuella. Sammantaget finner Regelrådet att konsekvensutredningen inte uppfyller kraven i 6 och 7 förordning (2007:1244) om konsekvensutredning vid regelgivning. Regelrådet behandlade ärendet vid sammanträde den 10 september 2015. I beslutet deltog Pernilla Lundqvist, ordförande, Lennart Palm, Leif Melin, Eleonor Kristoffersson och Samuel Engblom. Ärendet föredrogs av Gustaf Molander. Pernilla Lundqvist Ordförande Gustaf Molander Föredragande Postadress Webbplats E-post 5/5