Säkerhetsskyddsavtal och samråd
Ett säkerhetsskyddsavtal ska säkerställa att ert säkerhetsskydd upprätthålls på samma nivå hos en aktör/motpart som ni utkontrakterat till eller på annat sätt exponerat er säkerhetskänsliga verksamhet för.
Säkerhetsskyddsavtal
Från och med den 1 december 2021 är det obligatoriskt för verksamhetsutövare att i vissa situationer teckna ett säkerhetsskyddsavtal. Det gäller om ni avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör och
- aktören/motparten därigenom kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
- aktören/motparten därigenom kan få tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet det vill säga lägst konsekvensnivå C (tidigare konsekvensnivå 2) enligt Säkerhetspolisens säkerhetsskyddsföreskrifter (PMFS 2022:1).
Om något av ovanstående kriterier är uppfyllda ska ni genomföra och dokumentera en särskild säkerhetsskyddsbedömning och en lämplighetsprövning innan upphandlingen, samverkan eller samarbetet inleds eller avtalet ingås.
Ett säkerhetsskyddsavtal ska ingås innan motparten kan få tillgång till den säkerhetskänsliga verksamheten. Skyldigheten att ingå säkerhetsskyddsavtal gäller även i förhållande till en underleverantör som anlitas för att fullgöra den andra aktörens förpliktelse, om underleverantören genom sitt uppdrag kan få sådan tillgång till den säkerhetskänsliga verksamheten som redogjorts för ovan.
När säkerhetsskyddsavtal inte behövs
I 6 kap. 1-2 §§ säkerhetsskyddsförordningen finns vissa särskilda undantag från skyldigheten att ingå säkerhetsskyddsavtal, och undantag från skyldigheten att genomföra en särskild säkerhetsskyddsbedömning och lämplighetsprövning samt samråd.
Observera att säkerhetsskyddsavtal inte behövs för att ni exempelvis samarbetar eller har kontakter med er tillsynsmyndighet i tillsyns- eller tillståndsärenden rörande er säkerhetskänsliga verksamhet.
Om ni kommer fram till att säkerhetsskyddsavtal inte behövs för att aktören enbart kommer att få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig, eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, ska ni istället säkerställa att säkerhetsskyddet regleras på något annat sätt än genom ett säkerhetsskyddsavtal.
Särskild säkerhetsskyddsbedömning och lämplighetsprövning
I den särskilda säkerhetsskyddsbedömningen ska ni identifiera vilka säkerhetsskyddsklassificerade uppgifter och/eller vilken säkerhetskänslig verksamhet i övrigt som den andra aktören/motparten kan få tillgång till och som kräver säkerhetsskydd.
Ni ska i den särskilda säkerhetsskyddsbedömningen beskriva:
- vilka skyddsvärden som kan komma att påverkas av förfarandet och på vilket sätt
- vilka säkerhetshot som föreligger mot de påverkade skyddsvärdena och den säkerhetskänsliga verksamheten i stort
- vilka sårbarheter som föreligger för de påverkade skyddsvärdena och den säkerhetskänsliga verksamheten i stort, samt hur sårbarheterna påverkas av förfarandet
- vilka säkerhetsskyddsåtgärder som är nödvändiga som en följd av förfarandet.
Med utgångspunkt i den särskilda säkerhetsskyddsbedömningen och övriga omständigheter ska ni därefter göra en prövning av om det planerade förfarandet är lämpligt ur säkerhetsskyddssynpunkt (lämplighetsprövning). Om ni i lämplighetsprövningen kommer fram till att det planerade förfarandet är olämpligt att genomföra ur säkerhetsskyddssynpunkt, får ni inte inleda det.
Ni ska dokumentera den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen. Den särskilda säkerhetsskyddsbedömningen ska fastställas av säkerhetsskyddschefen eller den han eller hon bestämmer.
Observera att det även finns krav på att utföra en särskild säkerhetsskyddsbedömning inför driftsättning av informationssystem och att då under vissa förutsättningar också samråda med Säkerhetspolisen. Du kan läsa mer om detta på Informationssäkerhet.
Samråd
I vissa fall ska ni även ansöka om samråd med Transportstyrelsen innan upphandlingen, samverkan eller samarbetet inleds eller avtalet ingås.
Det gäller om ni efter den särskilda säkerhetsskyddsbedömningen och lämplighetsprövningen har kommit fram till att det planerade förfarandet är lämpligt att genomföra och
- aktören/motparten därigenom kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller
- aktören/motparten därigenom kan få tillgång till annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet det vill säga lägst konsekvensnivå B (tidigare konsekvensnivå 4) enligt Säkerhetspolisens säkerhetsskyddsföreskrifter (PMFS 2022:1).
Transportstyrelsen ger som utgångspunkt Säkerhetspolisen möjlighet att yttra sig i alla ärenden om samråd.
Om ni inte har inlett ett samråd trots att det finns en skyldighet att göra det, kan Transportstyrelsen starta ett samrådsärende på eget initiativ.
Hur ni inleder samråd
För att inleda samråd inför en upphandling, samverkan, samarbete eller avtal ska ni skicka in följande till Transportstyrelsen:
- Transportstyrelsens Blankett för samråd enligt säkerhetsskyddslagen
- den särskilda säkerhetsskyddsbedömningen
- lämplighetsprövningen
- utkast till säkerhetsskyddsavtal.
Om det är fråga om en upphandling kan ni även behöva bifoga upphandlingsdokument med bilagor.
Om det rör samverkan, samarbete eller avtal, kan ni behöva bifoga en beskrivning av det planerade förfarandet och eventuell dokumentation avseende förfarandet, exempelvis utkast till överenskommelse eller avtalsdokument.
Ni kan även behöva bifoga underlag i övrigt som behövs för att vi ska kunna göra en fullständig bedömning. Det kan till exempel vara er säkerhetsskyddsanalys.
I den mån motparten/aktören är känd bör samrådsunderlaget även innehålla relevant information om motparten/aktören.
Åtgärder vid samråd
I ett ärende om samråd kan Transportstyrelsen meddela beslut om föreläggande mot er verksamhet. Ett föreläggande kan gälla t.ex. att ni måste vidta ytterligare åtgärder eller förbättra vissa säkerhetsåtgärder inom områdena informationssäkerhet, fysisk säkerhet eller personalsäkerhet för att förfarandet ska vara godtagbart ur säkerhetsskyddssynpunkt.
Transportstyrelsen kan också besluta att förfarandet inte får genomföras (förbud). Det gäller om ni inte följt ett tidigare föreläggande eller om förfarandet är olämpligt ur säkerhetsskyddssynpunkt. Förbud är en mycket långtgående åtgärd och används endast i särskilda fall när det är särskilt motiverat och tillsynsmyndigheten inte ser någon annan utväg.
Om Transportstyrelsen bedömer att ni kan gå vidare med det planerade förfarandet, får ni ett beslut om att samrådet avslutas utan vidare åtgärd.
Samrådsärendet ska som utgångspunkt ha avslutats innan det planerade förfarandet inleds. Det innebär bland annat att en offentlig upphandling som utgångspunkt inte får påbörjas innan samrådet har genomförts. Om Transportstyrelsen bedömer det som nödvändigt finns dock möjlighet att kunna ge klartecken till att en upphandlingsprocess påbörjas och att samrådet pågår fortlöpande under upphandlingsprocessen.
Nivåer på säkerhetsskyddsavtal
Säkerhetsskyddsavtal finns i tre nivåer som bygger på var säkerhetsskyddsklassificerade uppgifter kommer att förvaras eller hanteras. Dessa nivåer gäller även för tillträde till säkerhetskänslig verksamhet.
Nivå 1
Aktören kommer att utanför verksamhetsutövarens lokaler eller utrymmen:
- få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
- få tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet utanför verksamhetsutövarens områden, byggnader och andra anläggningar eller objekt.
Om ni som verksamhetsutövare avser att ingå ett säkerhetsskyddsavtal i nivå 1 ska ni på plats inspektera motpartens säkerhetsskydd för aktuella lokaler eller utrymmen. Ni får endast godkänna lokalerna eller utrymmena om kraven enligt säkerhetsskyddsavtalet kan tillgodoses. Ni ska även under säkerhetsskyddsavtalets löptid regelbundet kontrollera och följa upp motpartens säkerhetsskydd för aktuella lokaler eller utrymmen.
Ni ska därtill säkerställa att motparten dokumenterar hur denne uppfyller kravet på säkerhetsskydd enligt avtalet genom en säkerhetsskyddsinstruktion. Ni som verksamhetsutövare ska godkänna säkerhetsskyddsinstruktionen.
Nivå 2
Aktören kommer att i verksamhetsutövarens egna lokaler eller utrymmen:
- få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
- få tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet inom verksamhetsutövarens områden, byggnader och andra anläggningar eller objekt.
Nivå 3
Aktören kan komma att i verksamhetsutövarens egna lokaler eller utrymmen:
- få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
- få tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet inom verksamhetsutövarens områden, byggnader och andra anläggningar eller objekt.
Skyldigheter i samband med säkerhetsskyddsavtal
Förteckning
Ni ska bedöma vilka befattningar hos motparten som ska placeras i säkerhetsklass och vilka befattningar hos motparten som ska säkerhetsprövas utan placering i säkerhetsklass. Bedömningen ska resultera i en förteckning och omfatta motpartens ledning, personal och övriga hos motparten som ska delta i den säkerhetskänsliga verksamheten.
Utbildning
Ni ska säkerställa att personal hos en motpart som ni ingått säkerhetsskyddsavtal med har relevant kunskap inom säkerhetsskydd och tillräcklig kännedom om verksamhetsutövarens skyddsvärden för arbetet de ska utföra.
Anmälan om avsikt att ingå säkerhetsskyddsavtal
Ni ska anmäla om ni har för avsikt att ingå ett säkerhetsskyddsavtal till Transportstyrelsen. Anmälan gör ni genom att skicka in vår blankett Anmälan om avsikt att ingå säkerhetsskyddsavtal.
Ansökan om beslut om placering i säkerhetsklass
Om uppdraget innebär att nya befattningar/roller/funktioner behöver placeras i säkerhetsklass behöver en ansökan om placering i säkerhetsklass också göras till Transportstyrelsen.
Observera att om en kommun eller region istället ansvarar för att besluta om placering i säkerhetsklass för det aktuella säkerhetsskyddsavtalet, så ska ni även anmäla er avsikt att ingå säkerhetsskyddsavtalet till kommunen eller regionen. Då sker ansökan om beslut om placering i säkerhetsklass istället via kommunen/regionen.
Du kan läsa mer om i vilka fall som Transportstyrelsen beslutar om placering i säkerhetsklass på sidan Beslut om placering i säkerhetsklass.
Anmälan om att säkerhetsskyddsavtal har ingåtts
Som verksamhetsutövare ska ni också anmäla till Transportstyrelsen när ni har ingått ett säkerhetsskyddsavtal. Det gör ni genom att skicka in Säkerhetspolisens blankett, som du hittar på Säkerhetspolisens webbplats. Om Transportstyrelsen är den som beslutar om placering i säkerhetsklass, vidarebefordrar Transportstyrelsen anmälan till Säkerhetspolisen inför kommande registerkontroller. Ansökan om registerkontroll sker via Transportstyrelsen.
Om en kommun eller region istället ansvarar för att besluta om placering i säkerhetsklass för det aktuella säkerhetsskyddsavtalet, så ska ni anmäla att säkerhetsskyddsavtalet har ingåtts både till Transportstyrelsen och till kommunen/regionen. Då är det istället kommunen/regionen som vidarebefordrar er anmälan till Säkerhetspolisen inför kommande registerkontroller. Ansökan om registerkontroll sker då via kommunen/regionen.
När ansökan om registerkontroller som tillhör det aktuella uppdraget skickas in till Transportstyrelsen, måste de vara ifyllda med samma säkerhetsskyddsavtalsbenämning som tidigare angetts på anmälan om att säkerhetsskyddsavtal har ingåtts.
Anmälan om att ett säkerhetsskyddsavtal har upphört och avslutande åtgärder
När säkerhetsskyddsavtalet upphört att gälla ska detta anmälas av er som verksamhetsutövaren till Transportstyrelsen. Då använder ni Säkerhetspolisens blankett, se Säkerhetspolisens webbplats.
Om Transportstyrelsen är den som beslutat om placering i säkerhetsklass med stöd av avtalet, vidarebefordrar Transportstyrelsen anmälan till Säkerhetspolisen. Om ni har registerkontroller kopplat till säkerhetsskyddsavtalet ska ni snarast inkomma med avanmälningar för registerkontroller på anvisad blankett. Ni gör avanmälan via Säkerhetspolisens blankett, och sedan skickar den till Transportstyrelsen.
Observera att om en kommun eller region istället beslutat om placering i säkerhetsklass för det aktuella säkerhetsskyddsavtalet, så ska ni skicka anmälan till såväl Transportstyrelsen som kommunen/regionen. Kommunen eller regionen vidarebefordrar då anmälan till Säkerhetspolisen för att registerkontrollerna ska kunna upphöra.
När ett säkerhetsskyddsavtal har upphört ska ni som verksamhetsutövare upplysa motparten om den tystnadsplikt som gäller för de säkerhetsskydds-klassificerade uppgifter som motparten har fått tillgång till genom förfarandet. Motparten ska också återlämna eller förstöra alla säkerhetsskyddsklassificerade handlingar enligt era anvisningar.
Anvisningar vid insändande av blanketter och underlag
Observera att om underlaget innehåller säkerhetsskyddsklassificerade uppgifter ansvarar ni för att underlaget skickas med lämpligt säkerhetsskydd (för kontaktuppgifter, se Säkerhetsskydd).