Ändringar i säkerhetsskydds- lagstiftningen påverkar många aktörer inom energisektorn

  • Hem
  • Aktuellt
  • Insikter
  • 2022
  • Ändringar i säkerhetsskyddslagstiftningen påverkar många aktörer inom energisektorn

Många aktörer inom energisektorn berörs av de ändringar i säkerhetsskyddslagstiftningen som trädde i kraft den 1 december 2021 genom bl a lagen om ändring i säkerhetsskyddslagen (SFS 2021:952) och den nya säkerhetsskyddsförordningen (SFS 2021:955).

Verksamheter som till någon del är av betydelse för Sveriges el- och energiförsörjning eller innehar liknande samhällsviktiga funktioner, och därmed kan bedömas bedriva säkerhetskänslig verksamhet enligt lagen, ska anmäla sin verksamhet till behörig tillsynsmyndighet. Uttryckligt ansvar har lagts på respektive verksamhetsutövare att genomföra en dokumenterad analys av huruvida man bedriver säkerhetskänslig verksamhet och, om så är fallet, utreda behovet av säkerhetsskydd, planera och vidta de säkerhetsåtgärder som krävs samt kontinuerligt följa upp och kontrollera säkerhetsskyddet i den egna verksamheten. Kraven på ingående av säkerhetsskyddsavtal har utvidgats och i vissa fall är verksamhetsutövaren även skyldig att samråda med tillsynsmyndigheten innan ett avtal får slutas eller ett samarbete får inledas. Krav uppställs numera också på att säkerhetskyddsavtal ska ingås mellan bolag i samma koncern. Vidare har tillsynsmyndigheterna fått utökade befogenheter att utreda och ingripa mot verksamhetsutövaren i syfte att säkerställa regelefterlevnad.

 

Bakgrund

Avreglering och konkurrensutsättning av samhällsviktig verksamhet har medfört att en stor del av samhällsviktiga verksamheter idag inte är underkastade direkt statligt inflytande. Sådana verksamheter bedrivs och förvaltas i stor utsträckning av enskilda aktörer samt även genom utländskt ägande eller inflytande. Ökad digitalisering innebär att många samhällskänsliga uppgifter förvaltas på ett sätt som kan komma att exponeras för externa hot i form av t ex spioneri, sabotage och terrorism. I takt med att den externa hotbilden mot Sverige ökat har lagstiftaren identifierat ett behov av att ringa in och tydligare reglera de verksamheter som behandlar samhällskänsliga uppgifter. Den 1 april 2019 trädde således den nya säkerhetsskyddslagen (SFS 2018:585) samt säkerhetsskyddsförordning (SFS 2018:658) ikraft. För att ytterligare stärka säkerhetsskyddet för samhällskänsliga uppgifter infördes den 1 december 2021 en ny säkerhetsskyddsförordning (SSFS 2021:955) och ändringar i säkerhetsskyddslagen genom Lag om ändring i säkerhetsskyddslagen (SFS 2021:952). Nedan följer en sammanfattning av några av de väsentliga lagkrav som nu gäller på området.


Anmälningsplikt till behörig tillsynsmyndighet

Sedan den 1 december 2021 föreligger en anmälningsplikt för verksamhetsutövare som bedriver verksamhet som omfattas av säkerhetsskyddslagen.

Det är upp till varje verksamhetsutövare att själv bedöma om verksamheten till någon del är av betydelse för Sveriges säkerhet. Som första åtgärd behöver således en analys av detta göras noggrant, inte minst eftersom överträdelser av anmälningsplikten kan förenas med administrativa tvångsåtgärder, såsom exempelvis vitesförelägganden, föreläggande om förbud och sanktionsavgifter.

Såvitt avser aktörer inom energisektorn bör det understrykas att regeringen redan i förarbetena till säkerhetsskyddslagen – i prop. 2017/18:89 – framhöll att elförsörjning har en särställning genom sin direkta och indirekta påverkan på samhällets funktion. Avbrott i elförsörjningen ansågs även kunna få allvarliga skadekonsekvenser i andra sektorer, såsom elektroniska kommunikationer och centrala betalningssystem. Exempelvis kan en kraftverksdamm dels inneha en kritisk funktion i elförsörjningssystemet, dels medföra skadegenererande effekter på andra verksamheter om den havererar som ett resultat av en antagonistisk handling.

Varje egen juridisk person ska ses som en separat verksamhetsutövare, innebärande att varje bolag som bedriver säkerhetskänslig verksamhet inom en koncern omfattas av anmälningsplikten. Det är med andra ord inte tillräckligt att koncernmoderbolaget anmäler sin verksamhet för hela koncernens räkning.

Anmälan ska ske till behörig tillsynsmyndighet. För kärntekniska verksamhetsutövare som bedriver säkerhetskänslig verksamhet faller tillsynsansvaret på Strålsäkerhetsmyndigheten. Verksamhetsutövare inom områdena fjärrvärme, naturgas, olja- drivmedel som bedriver säkerhetskänslig verksamhet ska anmäla till Energimyndigheten. För verksamhetsutövare inom elförsörjning och dammanläggningar ska, med undantag av kärnteknisk verksamhet, anmälan ske till Svenska kraftnät.


Säkerhetskyddschefens roll stärks

Sedan tidigare har berörd verksamhetsutövare varit skyldig att, om det inte är helt uppenbart onödigt, utse en säkerhetsskyddschef som ansvarar för verksamhetens efterlevnad av säkerhetsskyddslagstiftningen. Det uppställs numera krav på att säkerhetskyddschefen ska vara direkt underställd chefen för verksamhetsutövarens verksamhet, som för aktiebolag vanligtvis innebär den verkställande direktören. Säkerhetskyddschefens förväntas leda och samordna säkerhetsskyddsarbetet, kontrollera verksamheten och ha en aktiv och operativ roll. I en koncern ska varje bolag som omfattas av säkerhetsskyddslagen ha en egen säkerhetskyddschef.


Nya krav gällande säkerhetskyddsavtal

Tidigare har skyldigheten att ingå säkerhetskyddsavtal varit begränsad till upphandlingar och andra anskaffningar. Kretsen av aktörer med vilka en verksamhetsutövare måste sluta ett säkerhetskyddsavtal har genom de uppdateringar av säkerhetsskyddslagstiftningen som trädde ikraft i december 2021 numera utvidgats på så sätt, att säkerhetskyddsavtal kan behöva ingås även i samband med avtal utan upphandling, samarbeten eller samverkan som innebär att motparten kan få tillgång till säkerhetsskyddsklassificerade uppgifter. Det ankommer på verksamhetsutövaren i varje enskilt fall att göra en säkerhetsprövning där risken för exponering av den säkerhetskänsliga verksamheten ska vägas mot de skadekonsekvenser som kan drabba det svenska samhället till följd av att uppgifterna exponeras. Säkerhetsskyddslagstiftningen bygger på fyra kategorier av skyddsvärda uppgifter:

  1. Kvalificerat hemlig; synnerligen allvarlig skada
  2. Hemlig; allvarlig skada
  3. Konfidentiell; inte obetydlig skada
  4. Begränsat hemlig; endast ringa skada

Innan ett avtal ingås eller samarbete inleds måste verksamhetsutövaren genomföra en säkerhetsprövning för att kartlägga vilken kategori av uppgifter som en avtalspart eller samarbetspart kan komma att ta del av. Säkerhetsprövningen ska åtföljas av en lämplighetsprövning där verksamhetsutövaren ska göra en avvägning huruvida det är lämpligt att avtal ingås eller att samarbete inleds i ljuset av de potentiella skadekonsekvenserna.

Ett säkerhetskyddsavtal måste alltid ingås med en motpart som kan komma att ta del av uppgift som bedöms ”konfidentiell” eller högre.  En nyhet är också att det införts en samrådsskyldighet med berörd tillsynsmyndighet för uppgifter som bedöms tillhöra kategorin ”hemlig” eller högre. Tillsynsmyndigheten ges möjlighet att bl a lämna synpunkter på säkerhetskyddsavtalens utformning och ytterst förbjuda att den tilltänkta t ex upphandlingen, avtalsingåendet eller samverkan genomförs.

Viktigt att ha med sig är, att om kriterierna för att ingå ett säkerhetsavtal enligt lagen är uppfyllda, så ska sådant säkerhetsavtal vara undertecknat innan motparten kan få tillgång till den säkerhetskänsliga verksamheten/informationen.   

Det har också införts en skyldighet för verksamhetsutövare att kontrollera och följa upp samt, när behov uppstår, revidera de ingångna säkerhetskyddsavtalen.  Detta innebär att varje säkerhetsavtal måste utformas på sådant sätt att dessa rättigheter blir tydliga och tillvaratas.

Säkerhetsskyddsavtal ska ingås med samtliga berörda underleverantörer som kan komma att få tillgång till sådana skyddsvärda uppgifter. Säkerhetskyddsavtal behöver även ingås mellan bolag inom samma koncern.


Kopplingen mellan säkerhetskyddsavtalet och säkerhetsprövning av motparts personal förtydligas

Sedan tidigare förutsätts det att en verksamhetsutövare, genom tillämpning av säkerhetsskyddslagstiftningen, med grund i  säkerhetsskyddsavtalet ska kunna ställa krav på säkerhetsprövning med registerkontroll och särskild personutredning på motpartens persona. Detta framgick dock inte tydligt i någon författning.

Det har numera förtydligats i lag att säkerhetskyddsavtalet kan utgöra grund för kravet på säkerhetsprövning av en motparts personal och att det kan utgöra grund för beslut om placering i säkerhetsklass, registerkontroll och särskild personutredning.

Säkerhetsprövningen görs av den som ska anställa eller anlita personen i fråga. Det huvudsakliga syftet med prövningen är att klarlägga om personen kan antas vara lojal med de intressen som ska skyddas, kan vara pålitlig ur säkerhetssynpunkt samt för att utreda eventuella sårbarheter som skulle kunna göra att personen hamnar i en utsatt situation.


Utvidgade befogenheter för tillsynsmyndigheterna

Tillsynsmyndigheterna har, genom de senaste ändringarna av säkerhetsskyddslagstiftningen, givits utökade befogenheter och tilldelats nya möjligheter att ingripa för att framtvinga regelefterlevnad.

Exempelvis har tillsynsmyndighet möjlighet att vid vite tvinga fram åtgärder, såsom att förelägga verksamhetsutövare att avsluta ett visst samarbete. Tillsynsmyndigheten kan också förbjuda en viss åtgärd, t ex genom att förbjuda en verksamhetsutövare att ingå ett avtal eller inleda ett samarbete. Tillsynsmyndigheten har även möjlighet att påföra sanktionsavgift för överträdelser av krav som är centrala för säkerhetsskyddet, bl a överträdelser av anmälningsplikten, krav på att utse säkerhetskyddschef, krav på att genomföra och uppdatera säkerhetsskyddsanalys, krav på att ingå säkerhetskyddsavtal etc.

Därutöver har tillsynsmyndigheterna också givits utvidgade undersökningsmöjligheter; myndigheterna kan bl a kräva tillträde till områden och lokaler, tillgång till information samt begära handräckning hos Kronofogdemyndigheten.



Några avslutande medskick

Säkerhetskyddslagstiftningen är förhållandevis ny och det förekommer regelbundna uppdateringar och förtydliganden. Lagstiftningsprocessen har ofta varit skyndsam och det är viktigt att berörda verksamhetsutövare aktivt bevakar nyheter inom området.

Det finns alltjämt ett behov av förtydliganden från lagstiftarens och berörda myndigheters sida om hur regelverket ska implementeras i praktiken. Vid oklarheter rekommenderas att föra en dialog med berörd tillsynsmyndighet. Advokatfirman Lindahl är givetvis behjälplig vid behov av rådgivning rörande bl a frågor om regelefterlevnad, förhandling och upprättande av säkerhetskyddsavtal samt andra frågor som kan komma att uppstå i dialogen med tillsynsmyndigheterna.

Registrera dig för e-postutskick

Prenumerera på Lindahls nyhetsbrev!

Besök sidan

Energi

Energibranschen har under de senaste åren genomgått stora förändringar. Fler nya aktörer inom vindkraft och solenergi etablerar sig och konkurrensen ökar inom flera energiområden. Lindahl har under lång tid lämnat råd till företag inom energibranschen, varav några av de ledande kraftproducenterna, elhandelsföretagen och leverantörerna av kraft- och kraftöverföringsutrustning i Sverige.

Besök sidan

Relaterat

Vissa kakor är nödvändiga för webbplatsens funktionalitet, andra hjälper oss att förbättra din upplevelse genom att ge insikt i hur webbplatsen används. För mer information, besök vår cookiepolicy.

Nödvändiga cookies

Dessa cookies är nödvändiga för webbplatsens funktionalitet och kan inte inaktiveras.

Analytics cookies

Vi använder Analytics-kakor för att samla information och ge oss inblick i hur besökare använder vår webbplats. Vi anonymiserar IP-adresser i Google Analytics. Genom att klicka på Neka så kommer vi inte att spara dessa cookies.

Vi använder cookies för att undersöka hur vår hemsida används och ge våra besökare bästa möjliga upplevelse