1
Svensk författningssamling
Säkerhetsskyddsförordning
Utfärdad den 31 maj 2018
Regeringen föreskriver följande.
1 kap. Förordningens tillämpningsområde
Tillämpningsområde
1 § Denna förordning innehåller kompletterande bestämmelser till säker-
hetsskyddslagen (2018:585). Ord och uttryck som används i förordningen
har samma innebörd som i lagen.
Förordningen gäller inte för riksdagen och dess myndigheter.
2 § För Regeringskansliet och utlandsmyndigheterna gäller endast 1 kap.
1��3 §§, 2 kap. 1��6 §§, 3 kap., 4 kap. och 5 kap. 3 och 5 §§ säkerhets-
skyddslagen (2018:585) samt 1 kap. 4 och 5 §§, 2 kap. 1, 3 och 4 §§, 2 kap.
6 § första stycket och 2 kap. 6 § andra stycket 1, 3 kap. 1, 3 och 10 §§, 5 kap.
och 6 kap. denna förordning.
För sådana kommittéer och särskilda utredare som avses i kommitté-
förordningen (1976:119) gäller endast 2 kap. 5 §, 3 kap. och 4 kap. säker-
hetsskyddslagen samt 5 kap. och 6 kap. denna förordning.
3 § Vad som föreskrivs i denna förordning om myndigheter gäller också
vid säkerhetskänslig verksamhet i kommuner och landsting om inte något
annat sägs.
Ord och uttryck
4 § Med säkerhetsskyddsklassificerad handling avses en handling som
innehåller en säkerhetsskyddsklassificerad uppgift enligt 1 kap. 2 § säker-
hetsskyddslagen (2018:585).
5 § Med informationssystem avses ett system av sammansatt mjuk- och
hårdvara som behandlar information.
2 kap. Grundläggande bestämmelser om säkerhetsskydd
Säkerhetsskyddsanalys
1 § Den som bedriver säkerhetskänslig verksamhet ska enligt 2 kap. 1 §
säkerhetsskyddslagen (2018:585) göra en säkerhetsskyddsanalys.
Säkerhetsskyddsanalysen innebär att säkerhetsskyddsklassificerade upp-
gifter och vad som i övrigt behöver ett säkerhetsskydd ska identifieras. Vilka
delar av verksamheten som är skyddsvärda med hänsyn till Sveriges
SFS 2018:658
Publicerad
den 7 juni 2018
2
SFS
säkerhet samt vilka hot och sårbarheter som finns kopplade till detta skydds-
värde ska också identifieras. Säkerhetsskyddsanalysen ska även innehålla en
bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen
ska hållas uppdaterad.
Säkerhetsskyddschef
2 § Vid verksamhet som förordningen gäller för ska det, om det inte är
uppenbart obehövligt, finnas en säkerhetsskyddschef som kontrollerar att
verksamheten bedrivs i enlighet med vad som föreskrivs i säkerhetsskydds-
lagen (2018:585) och denna förordning.
Vid myndigheter ska säkerhetsskyddschefen vara direkt underställd
myndighetens chef.
Behörighet att delta i säkerhetskänslig verksamhet
3 § Behörig att ta del av säkerhetsskyddsklassificerade uppgifter eller i
övrigt delta i säkerhetskänslig verksamhet är, om inte något annat följer av
bestämmelser i lag, endast den som
1. har bedömts pålitlig från säkerhetssynpunkt,
2. har tillräckliga kunskaper om säkerhetsskydd, och
3. behöver uppgifterna eller annan tillgång till verksamheten för att kunna
utföra sitt arbete eller på annat sätt delta i den säkerhetskänsliga verksam-
heten.
4 § En verksamhetsutövare ska upplysa den som tillåts ta del av säkerhets-
skyddsklassificerade uppgifter om räckvidden och innebörden av den
sekretess och tystnadsplikt som följer av offentlighets- och sekretesslagen
(2009:400) respektive 5 kap. 2 § säkerhetsskyddslagen (2018:585).
Säkerhetsskyddsavtal
5 § En enskild verksamhetsutövare som avser att ingå ett säkerhets-
skyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585) ska utan
dröjsmål anmäla det till den tillsynsmyndighet som anges i 7 kap. 1 § första
stycket 3��6. Anmälan syftar till att uppmärksamma tillsynsmyndigheten på
eventuellt behov av placering i säkerhetsklass och ska också utgöra underlag
för myndighetens arbete med tillsyn över säkerhetsskyddet. I 5 kap. finns
bestämmelser om beslut om placering i säkerhetsklass samt registerkontroll
och särskild personutredning.
6 § En statlig myndighet som avser att genomföra en upphandling som
innebär krav på säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen
(2018:585) ska vidta de åtgärder som anges i andra stycket, om
1. leverantören kan få tillgång till eller möjlighet att förvara säkerhets-
skyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre
utanför myndighetens lokaler, eller
2. leverantören kan få tillgång till säkerhetskänsliga informationssystem
utanför myndighetens lokaler och obehörig åtkomst till systemen kan
medföra allvarlig skada för Sveriges säkerhet.
En statlig myndighet som avser att genomföra en sådan upphandling ska
innan förfarandet inleds
1. genom en särskild säkerhetsbedömning identifiera och dokumentera
vilka säkerhetsskyddsklassificerade uppgifter eller säkerhetskänsliga infor-
mationssystem som leverantören kan få del av och som kräver säker-
hetsskydd, och
2018:658
3
SFS
2. samråda med den myndighet som enligt 7 kap. 1 § första stycket 1 eller
2 utövar tillsyn över den aktuella verksamheten.
Tillsynsmyndigheten får förelägga myndigheten att vidta åtgärder enligt
säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till
den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten
bedömer att säkerhetsskyddslagens krav inte kan tillgodoses trots att
ytterligare åtgärder vidtas, får tillsynsmyndigheten besluta att myndigheten
inte får genomföra upphandlingen.
7 § Den som har ingått ett säkerhetsskyddsavtal enligt 2 kap. 6 § säker-
hetsskyddslagen (2018:585) ska anmäla det till Säkerhetspolisen. En sådan
anmälan ska också göras när ett säkerhetsskyddsavtal upphör att gälla.
Säkerhetsskyddsavtal vid internationellt samarbete
8 § Den nationella industrisäkerhetsmyndigheten får ingå ett säkerhets-
skyddsavtal med en enskild verksamhetsutövare, om det är nödvändigt för
att verksamhetsutövaren ska kunna delta i ett internationellt samarbete och
det behövs för att utfärda säkerhetsintyg enligt 4 kap. 1 § säkerhetsskydds-
lagen (2018:585). Säkerhetsskyddsavtalet ska anmälas till Säkerhetspolisen.
��verlåtelse av säkerhetskänslig verksamhet
9 § Den som avser att överlåta säkerhetskänslig verksamhet till en enskild
ska, innan ett förfarande för överlåtelse inleds, anmäla det till Säkerhets-
polisen eller, om verksamhetsutövaren hör till Försvarsmaktens tillsyns-
område enligt 7 kap. 1 § första stycket 1, till Försvarsmakten.
Verksamhetsutövaren ska vidare upplysa den enskilde om att säkerhets-
skyddslagen (2018:585) gäller för verksamheten. En sådan upplysning ska
innehålla en påminnelse om de skyldigheter som enligt 2 kap. 1 § säkerhets-
skyddslagen gäller för den som är ansvarig för en säkerhetskänslig
verksamhet.
Anmälan vid säkerhetshotande händelser och verksamhet
10 § En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen
om
1. en säkerhetsskyddsklassificerad uppgift kan ha röjts,
2. det inträffat en it-incident i ett informationssystem som verksamhets-
utövaren är ansvarig för och som har betydelse för säkerhetskänslig verk-
samhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller
3. verksamhetsutövaren får kännedom eller misstanke om någon annan
för denne allvarlig säkerhetshotande verksamhet.
Om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde enligt
7 kap. 1 § första stycket 1, ska anmälan göras också till Försvarsmakten.
11 § En verksamhetsutövare som är skyldig att anmäla säkerhetshotande
händelser enligt 10 § första stycket 1 eller 2 och som tillhandahåller tjänster
åt en annan verksamhetsutövare ska i samband med anmälan informera och
vid behov samråda med de uppdragsgivare som berörs av incidenten.
Vid anmälan enligt 10 § första stycket 1 eller 2 som rör säkerhets-
skyddsklassificerade uppgifter som omfattas av ett internationellt säkerhets-
skyddsåtagande enligt 6 kap. 1 §, ska Säkerhetspolisen underrätta den
myndighet som är nationell säkerhetsmyndighet enligt det internationella
säkerhetsskyddsåtagandet.
2018:658
4
SFS
3 kap. Informationssäkerhet
Förberedande åtgärder inför driftsättning av ett informationssystem
1 § Innan ett informationssystem som har betydelse för säkerhetskänslig
verksamhet tas i drift ska verksamhetsutövaren genom en särskild säkerhets-
bedömning ta ställning till vilka säkerhetskrav i systemet som är motiverade
och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses.
Säkerhetsbedömningen ska dokumenteras.
2 § Innan ett informationssystem som kan förutses komma att behandla
säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfi-
dentiell eller högre tas i drift, eller i väsentliga avseenden förändras, ska
verksamhetsutövaren skriftligen samråda med Säkerhetspolisen. Om verk-
samhetsutövaren hör till Försvarsmaktens tillsynsområde enligt 7 kap. 1 §
första stycket 1, ska denne i stället samråda med Försvarsmakten.
Samrådsskyldigheten gäller även i fråga om andra informationssystem än
sådana som anges i första stycket, om obehörig åtkomst till systemen kan
medföra en skada för Sveriges säkerhet som inte är obetydlig.
3 § Ett informationssystem som ska användas i säkerhetskänslig verk-
samhet får inte tas i drift förrän det har godkänts från säkerhetsskydds-
synpunkt av verksamhetsutövaren. Godkännandet ska dokumenteras.
Säkerhetskrav för informationssystem som används i säkerhetskänslig
verksamhet
4 § En verksamhetsutövare som ansvarar för ett informationssystem som
ska användas i säkerhetskänslig verksamhet ska vidta lämpliga skydds-
åtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på
informationssystemet samt obehörig avlyssning av, åtkomst till och nytt-
jande av informationssystemet. Verksamhetsutövaren ska också se till att
spårbarhet finns för händelser som är av betydelse för säkerheten i systemet.
En verksamhetsutövare som ansvarar för ett informationssystem enligt
första stycket ska beakta risken för röjande signaler och vidta lämpliga
skyddsåtgärder för systemet om
1. informationssystemet avses behandla säkerhetsskyddsklassificerade
uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller
2. obehörig åtkomst till informationssystemet kan medföra en skada för
Sveriges säkerhet som inte är obetydlig.
5 § Innan säkerhetsskyddsklassificerade uppgifter behandlas i ett informa-
tionssystem utanför verksamhetsutövarens kontroll ska denne försäkra sig
om att säkerhetsskyddet för uppgifterna i systemet är tillräckligt.
Om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett
informationssystem utanför verksamhetsutövarens kontroll ska uppgifterna
skyddas med hjälp av kryptografiska funktioner som har godkänts av
Försvarsmakten.
6 § Säkerhetspolisen och Försvarsmakten får inom respektive myndighets
tillsynsområde meddela föreskrifter om undantag från kraven i 4 § första
stycket.
Försvarsmakten får om det finns särskilda skäl också besluta om undantag
från kraven i 5 § andra stycket. Försvarsmakten ska samråda med Säkerhets-
polisen innan ett beslut om undantag meddelas om det gäller verksamhet
2018:658
5
SFS
som hör till Säkerhetspolisens tillsynsområde och med Regeringskansliet
(Utrikesdepartementet) om kravet följer av ett internationellt säkerhets-
skyddsåtagande.
Hantering av säkerhetsskyddsklassificerade handlingar
Anteckning om säkerhetsskyddsklass
7 § En säkerhetsskyddsklassificerad handling ska förses med en
anteckning om vilken säkerhetsskyddsklass uppgifterna i handlingen har.
Om handlingen innehåller uppgifter med olika säkerhetsskyddsklass ska den
högsta säkerhetsskyddsklassen avgöra vilken anteckning handlingen ska ha.
Säkerhetspolisen och Försvarsmakten får inom respektive myndighets
tillsynsområde meddela föreskrifter om undantag från kravet på anteckning
om säkerhetsskyddsklass.
Om en säkerhetsskyddsklassificerad handling kan antas komma att
lämnas över till utländska myndigheter eller leverantörer, ska den förses
med en anteckning om ursprungsland om det inte är olämpligt.
8 § Säkerhetsskyddsklassificerade handlingar som innehåller uppgifter i
säkerhetsskyddsklassen kvalificerat hemlig ska inventeras minst en gång per
år. Säkerhetsskyddsklassificerade handlingar som innehåller uppgifter i
säkerhetsskyddsklassen hemlig eller konfidentiell ska inventeras i den
omfattning som anges i Säkerhetspolisens föreskrifter eller, om det gäller
verksamhet som hör till Försvarsmaktens tillsynsområde, Försvarsmaktens
föreskrifter.
För arkiverade handlingar gäller kravet på inventering enbart för
handlingar i säkerhetsskyddsklassen kvalificerat hemlig.
Hos myndigheter och annan verksamhet som offentlighets- och sekretess-
lagen (2009:400) är tillämplig på gäller kravet på inventering endast för
allmänna handlingar.
Skydd för säkerhetsskyddsklassificerade uppgifter som lämnas till
utländska aktörer
9 § Säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk
myndighet eller en mellanfolklig organisation ska omfattas av ett inter-
nationellt säkerhetsskyddsåtagande hos den mottagande myndigheten eller
organisationen, om det inte finns särskilda skäl för att sådana uppgifter ändå
kan lämnas.
Säkerhetsskyddsklassificerade uppgifter får inte lämnas till en utländsk
leverantör om inte Sverige har ingått en överenskommelse om säkerhets-
skydd med den andra staten och leverantören har godkänts genom en
kontroll enligt den andra statens säkerhetsskyddslagstiftning.
10 § För försändelser till och från utlandet med säkerhetsskydds-
klassificerade handlingar och som inte skyddas av kryptografiska funktioner
enligt 5 §, ska Utrikesdepartementets kurirförbindelser anlitas.
Säkerhetspolisen och Försvarsmakten får inom respektive myndighets
tillsynsområde meddela föreskrifter om undantag från kravet i första stycket.
4 kap. Fysisk säkerhet
1 § Områden, byggnader och andra anläggningar eller objekt där säker-
hetsskyddsklassificerade uppgifter förvaras eller annars behandlas, eller där
2018:658
6
SFS
säkerhetskänslig verksamhet i övrigt bedrivs, ska vara försedda med funk-
tioner för att upptäcka, försvåra och hantera obehörigt tillträde och skadlig
inverkan utifrån ett identifierat säkerhetsskyddsbehov.
5 kap. Personalsäkerhet
Utbildning i säkerhetsskydd
1 § Den som är ansvarig för en säkerhetskänslig verksamhet ska se till att
den som anställs eller på annat sätt deltar i verksamheten får utbildning i
säkerhetsskydd. Behovet av utbildning ska följas upp under den tid del-
tagandet i den säkerhetskänsliga verksamheten pågår.
Genomförandet av säkerhetsprövningen
2 § Med grundutredning enligt 3 kap. 3 § säkerhetsskyddslagen (2018:585)
avses en utredning om personliga förhållanden av betydelse för säkerhets-
prövningen. Utredningen ska omfatta betyg, intyg, referenser och uppgifter
som den som prövningen gäller har lämnat, samt andra uppgifter i den
utsträckning det är relevant för prövningen. Vid behov ska en identitets-
kontroll göras.
3 § Bestämmelser om registerkontroll och särskild personutredning som
utförs efter ett beslut om placering i säkerhetsklass finns i 12��22 §§. Om det
redan efter grundutredningen står klart att den som prövningen gäller inte
uppfyller kraven för en godkänd säkerhetsprövning enligt 3 kap. 2 §
säkerhetsskyddslagen (2018:585), ska registerkontroll och särskild person-
utredning inte göras.
4 § En myndighet som beslutar om placering i säkerhetsklass eller som
ansöker om registerkontroll vid Säkerhetspolisen i fråga om någon som inte
ska anlitas i myndighetens verksamhet, ska vid behov samråda med
arbetsgivaren om säkerhetsprövningsåtgärder enligt 3 kap. 3 § säkerhets-
skyddslagen (2018:585). Samråd ska ske löpande under hela den tid som
deltagandet i den säkerhetskänsliga verksamheten pågår.
5 § Resultatet av säkerhetsprövningen ska dokumenteras i de fall en
person har bedömts vara pålitlig ur säkerhetssynpunkt och beslut har fattats
om anställning eller annat deltagande i verksamheten.
Beslut om placering i säkerhetsklass
6 § Regeringen beslutar om placering i säkerhetsklass om inget annat
anges i 8��12 §§.
7 § Om en kommun, ett landsting eller en sådan myndighet som anges i
8 eller 11 § bedömer att det finns behov av att placera en anställning eller
annat deltagande i säkerhetsklass 1, ska myndigheten, kommunen eller
landstinget begära att regeringen beslutar om en sådan placering. Mot-
svarande gäller för de verksamhetsutövare som anges i 9 §.
8 § Kommuner, landsting och de myndigheter som anges i bilagan till
denna förordning beslutar om
1. placering i säkerhetsklass 2 och 3 i fråga om anställning eller annat
deltagande i den egna verksamheten, och
2018:658
7
SFS
2. placering i säkerhetsklass 2 och 3 i fråga om anställning eller uppdrag
hos en leverantör som de har ingått ett säkerhetsskyddsavtal enligt 2 kap. 6 §
säkerhetsskyddslagen (2018:585) med.
Kommuner och landsting beslutar även om placering i säkerhetsklass 2
och 3 i fråga om anställning eller annat deltagande hos enskilda verksam-
hetsutövare som de utövar ett rättsligt bestämmande inflytande över enligt
2 kap. 3 § offentlighets- och sekretesslagen (2009:400).
9 § Kungl. Hovstaterna, Sveriges Radio Aktiebolag, Sveriges Television
Aktiebolag och Teracom Group AB beslutar om placering i säkerhetsklass 2
och 3 i fråga om anställning eller annat deltagande i den egna verksamheten.
10 § Regeringskansliet beslutar om placering i säkerhetsklass 2 och 3 när
det gäller
1. sådana kommittéer och särskilda utredare som avses i kommitté-
förordningen (1998:1474),
2. övriga anställningar, uppdrag eller annat deltagande i verksamhet som
regeringen beslutar om, och
3. uppdrag som styrelseledamot i bolag med statligt ägande där staten
nominerar samtliga styrelseledamöter.
11 § I andra fall än de som anges i 8��10 §§ beslutar de myndigheter som
anges i 7 kap. 1 § första stycket 3��6 om placering i säkerhetsklass 2 och 3 i
fråga om anställning eller annat deltagande i verksamhet hos enskilda
verksamhetsutövare som de utövar tillsyn över.
Registerkontroll och särskild personutredning
Registerkontroll och särskild personutredning vid placering i
säkerhetsklass
12 § Ett beslut om att en anställning eller annat deltagande i säkerhets-
känslig verksamhet ska placeras i säkerhetsklass medför att
1. säkerhetsprövningen vid en sådan anställning eller ett sådant del-
tagande ska omfatta en registerkontroll i enlighet med 3 kap. 13 § säkerhets-
skyddslagen (2018:585), och
2. en särskild personutredning ska göras vid registerkontrollen i den
utsträckning som anges i 3 kap. 17 § säkerhetsskyddslagen.
Registerkontroll utan placering i säkerhetsklass
13 § En registerkontroll av den som ska delta i säkerhetskänslig verksam-
het får göras utan placering i säkerhetsklass om det finns särskilda skäl.
Regeringen beslutar om registerkontroll enligt första stycket. Vid större
evenemang, statsbesök eller andra liknande händelser med närvaro av någon
för vars personskydd Säkerhetspolisen ansvarar, får beslut om register-
kontroll i stället fattas av Säkerhetspolisen.
Förutsättningar för registerkontroll
14 § En ansökan om registerkontroll får göras endast om den som säker-
hetsprövningen gäller kan antas komma att anställas eller på annat sätt delta
i den aktuella verksamheten. Om det finns synnerliga skäl får en ansökan
göras utan ett sådant antagande.
2018:658
8
SFS
Utförande av registerkontroll och särskild personutredning
15 § Säkerhetspolisen ska utföra en registerkontroll efter ansökan från den
som beslutat om placering i säkerhetsklass eller från en sådan verksamhets-
utövare som avses i 9 § eller från den som i annat fall beslutat om register-
kontroll.
När regeringen beslutat om placering i säkerhetsklass ska, om inte något
annat anges i beslutet, kontrollen utföras efter ansökan från den som beslutar
om placering i säkerhetsklass 2 och 3.
När det gäller sådana anställningar som anges i 25 § första stycket
förordningen (2007:1266) med instruktion för Försvarsmakten ska kon-
trollen utföras efter ansökan från Försvarsmakten.
16 § Om det finns särskilda skäl får en myndighet som anges i 7 kap. 1 §
första stycket 3��6 besluta att en enskild verksamhetsutövare, med anledning
av ett beslut om placering i säkerhetsklass, får ansöka om registerkontroll
hos Säkerhetspolisen.
17 § Den som ansöker om registerkontroll ansvarar för att samtycke enligt
3 kap. 18 § säkerhetsskyddslagen (2018:585) har inhämtats. Till en ansökan
om registerkontroll ska det bifogas en uppgift om placering i säkerhetsklass
eller, om registerkontrollen inte föranleds av ett beslut om placering i
säkerhetsklass, ett beslut om registerkontroll. Om registerkontrollen avser
en anställning eller annat deltagande i en verksamhet som har placerats i
säkerhetsklass 1 eller 2, ska också ett skriftligt underlag bifogas där den som
kontrollen avser har lämnat uppgifter om sina personliga förhållanden.
18 § Säkerhetspolisens uppgift att utföra registerkontrollen innefattar även
uppgiften att göra en särskild personutredning enligt 3 kap. 17 § säkerhets-
skyddslagen (2018:585).
19 § När den särskilda personutredningen gäller anställningar och annat
deltagande i verksamhet som har placerats i säkerhetsklass 1, ska Säkerhets-
polisen hålla ett personligt samtal med den som prövningen gäller, om det
inte står klart att samtalet inte behövs.
Ett personligt samtal ska, om det behövs, även hållas när utredningen
gäller anställningar och annat deltagande i verksamhet som har placerats i
säkerhetsklass 2.
Säkerhetspolisen får vid behov begära ett uppföljande samtal med den
som prövningen gäller.
Utlämnande av uppgifter
20 § Om det vid registerkontrollen eller den särskilda personutredningen
kommer fram en uppgift som kan antas vara av betydelse för säkerhets-
prövningen ska Säkerhetspolisen, efter att ha hört Säkerhets- och integritets-
skyddsnämnden, ge den som uppgiften gäller tillfälle att yttra sig enligt de
förutsättningar som anges i 3 kap. 20 § säkerhetsskyddslagen (2018:585). I
brådskande fall får Säkerhetspolisen inhämta ett sådant yttrande utan att ha
hört nämnden.
Säkerhetspolisen ska därefter underställa Säkerhets- och integritets-
skyddsnämnden frågan om huruvida uppgiften ska lämnas ut för säkerhets-
prövning enligt 3 kap. 19 § säkerhetsskyddslagen.
2018:658
9
SFS
Säkerhetspolisen ska ge Säkerhets- och integritetsskyddsnämnden till-
gång till samtliga uppgifter som kan vara av betydelse för prövningen.
Säkerhetspolisen ska dokumentera och verkställa nämndens beslut.
21 § En uppgift som efter beslut av Säkerhets- och integritetsskydds-
nämnden ska lämnas ut för säkerhetsprövning får inte åtföljas av något annat
yttrande än en förtydligande kommentar till uppgiften. Det får inte framgå
av svaret på en ansökan om registerkontroll att det finns någon uppgift om
den kontrollerade som inte lämnas ut.
Avanmälan
22 § När en anställning eller något annat deltagande som föranlett en
placering i säkerhetsklass upphör, eller vid en omplacering till en lägre
säkerhetsklass, ska verksamhetsutövaren skyndsamt anmäla till Säkerhets-
polisen att registerkontrollen ska avslutas eller anpassas till den lägre
säkerhetsklassen.
6 kap. Internationell samverkan och säkerhetsintyg
1 § Regeringskansliet ska vara nationell säkerhetsmyndighet för inter-
nationella säkerhetsskyddsåtaganden gentemot Europeiska unionen och
dess medlemsländer inom ramen för EU-arbetet, Nato och Europeiska
rymdorganet (ESA) och fullgöra de uppgifter som en sådan myndighet ska
ansvara för i enlighet med dessa internationella säkerhetsskyddsåtaganden.
Tillsyn över säkerhetsskyddet utövas av de myndigheter som anges i
7 kap. 1 § första stycket.
För andra generella internationella säkerhetsskyddsåtaganden ska
regeringen besluta vilken myndighet som ska vara nationell säkerhets-
myndighet och fullgöra de uppgifter som en sådan myndighet ska ansvara
för i enlighet med det internationella säkerhetsskyddsåtagandet.
2 § Försvarets materielverk ska vara nationell industrisäkerhetsmyndighet
och fullgöra de uppgifter som en sådan myndighet ska ansvara för i enlighet
med internationella säkerhetsskyddsåtaganden.
3 § Regeringskansliet beslutar om registerkontroll, utfärdar intyg och
lämnar underlag enligt 4 kap. 1, 2 och 4 §§ säkerhetsskyddslagen
(2018:585). Regeringskansliet får besluta att även andra myndigheter som
anges i bilagan till denna förordning ska utföra dessa uppgifter för personer
som deltar i myndigheternas egen verksamhet.
Om en registerkontroll föranleds av ett ärende om säkerhetsintyg för en
leverantör, beslutar i stället Försvarets materielverk om registerkontrollen
och utfärdar intyg enligt 4 kap. 1 § säkerhetsskyddslagen.
4 § Om en person eller en leverantör ansöker om ett säkerhetsintyg enligt
4 kap. 1 § säkerhetsskyddslagen (2018:585), får en tidigare gjord säkerhets-
prövning eller ett tidigare träffat säkerhetsskyddsavtal läggas till grund för
utfärdande av ett sådant intyg i den utsträckning som är lämpligt.
5 § Bestämmelserna i 5 kap. om säkerhetsprövning, registerkontroll och
särskild personutredning gäller vid ärenden enligt 4 kap. 1 och 4 §§
säkerhetsskyddslagen (2018:585).
2018:658
10
SFS
7 kap. Tillsyn, föreskrifter och rådgivning
Tillsyn
1 § Tillsyn över säkerhetsskyddet ska utövas av
1. Försvarsmakten när det gäller Fortifikationsverket och Försvars-
högskolan samt de myndigheter som hör till Försvarsdepartementet,
2. Säkerhetspolisen när det gäller övriga myndigheter, utom Justitie-
kanslern, samt kommuner och landsting,
3. Affärsverket svenska kraftnät när det gäller enskilda verksamhets-
utövare som bedriver elförsörjningsverksamhet,
4. Transportstyrelsen när det gäller enskilda verksamhetsutövare som
bedriver flygtrafiktjänst för civil luftfart, flygtrafikledningstjänst för militär
luftfart och verksamhet som i övrigt är av betydelse för luftfartsskydd,
hamnskydd och sjöfartsskydd,
5. Post- och telestyrelsen när det gäller enskilda verksamhetsutövare som
bedriver verksamhet som avser elektronisk kommunikation och posttjänst,
och
6. länsstyrelserna när det gäller enskilda verksamhetsutövare som
bedriver andra säkerhetskänsliga verksamheter än sådana som anges i 3��5.
De myndigheter som anges i första stycket får inom sitt tillsynsområde
utöva tillsyn över säkerhetsskyddet hos leverantörer som omfattas av ett
säkerhetsskyddsavtal enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585).
Sådan tillsyn får också avse enskilda verksamhetsutövare som leverantören
har anlitat inom ramen för säkerhetsskyddsavtalet.
2 § Säkerhetspolisen och Försvarsmakten får utöva tillsyn inom de
ansvarsområden som anges i 1 § första stycket 3��6 och andra stycket. När
sådan tillsyn har utövats ska den som har ansvar för tillsynen enligt 1 §
underrättas.
Säkerhetspolisen och Försvarsmakten får även utöva tillsyn över leveran-
törer som har uppdrag för flera verksamhetsutövare om leverantörens
samlade uppdrag är av stor betydelse för Sveriges säkerhet.
3 § Om det vid tillsynen över säkerhetsskyddet konstateras allvarliga
brister som trots påpekanden inte rättas till, ska Säkerhetspolisen eller
Försvarsmakten anmäla förhållandet till regeringen. Det gäller dock inte
brister hos sådana enskilda verksamhetsutövare där villkoren för säkerhets-
skyddet angetts i ett säkerhetsskyddsavtal.
Om sådana brister i säkerhetsskyddet som anges i första stycket
konstaterats av någon av de myndigheter som enligt 7 kap. 1 § första stycket
3��6 utövar tillsyn, ska myndigheten informera Säkerhetspolisen och
Försvarsmakten.
Rätt att meddela föreskrifter
4 § Säkerhetspolisen får meddela föreskrifter om
1. säkerhetsskyddsanalys, anmälnings- och rapporteringsskyldighet, säker-
hetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal
enligt säkerhetsskyddslagen (2018:585) och denna förordning med undantag
av Försvarsmaktens tillsynsområde,
2. verkställigheten av säkerhetsskyddslagen i fråga om förfarandet vid
registerkontroll, och
3. verkställigheten av säkerhetsskyddslagen i övrigt med undantag av
Försvarsmaktens tillsynsområde och det som följer av 6 och 7 §§.
2018:658
11
SFS
Innan föreskrifter meddelas ska Säkerhetspolisen ge Försvarsmakten
tillfälle att yttra sig. Detsamma gäller i fråga om föreskrifter enligt 3 kap.
6 § första stycket samt 3 kap. 7 och 10 §§. Regeringskansliet (Utrikes-
departementet) ska underrättas om innehållet i föreskrifterna.
5 § Försvarsmakten får meddela föreskrifter om
1. kryptografiska funktioner som är avsedda för skydd av säkerhets-
känslig verksamhet, utöver det bemyndigande för myndigheten som finns i
33 § förordningen (2007:1266) med instruktion för Försvarsmakten,
2. säkerhetsskyddsanalys, anmälnings- och rapporteringsskyldighet, säker-
hetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal
enligt säkerhetsskyddslagen (2018:585) och denna förordning inom sitt
tillsynsområde, och
3. verkställigheten av säkerhetsskyddslagen inom sitt tillsynsområde med
undantag av det som följer av 6 och 7 §§.
Innan föreskrifter meddelas ska Försvarsmakten ge Säkerhetspolisen
tillfälle att yttra sig. Detsamma gäller i fråga om föreskrifter enligt 3 kap.
6 § första stycket samt 3 kap. 7 och 10 §§. Regeringskansliet (Utrikes-
departementet) ska underrättas om innehållet i föreskrifterna.
6 § Regeringskansliet (Utrikesdepartementet) får meddela föreskrifter om
verkställigheten av säkerhetsskyddslagen (2018:585) när det gäller ut-
färdande av säkerhetsintyg enligt 4 kap. 1 § säkerhetsskyddslagen för
personer som har hemvist i Sverige. Innan sådana föreskrifter meddelas ska
Regeringskansliet (Utrikesdepartementet) samråda med Säkerhetspolisen,
Försvarsmakten och Försvarets materielverk.
7 § Försvarets materielverk får meddela föreskrifter om verkställigheten
av säkerhetsskyddslagen (2018:585) i fråga om utfärdande av säkerhetsintyg
enligt 4 kap. 1 § säkerhetsskyddslagen för leverantörer med säte i Sverige.
Försvarets materielverk ska innan sådana föreskrifter meddelas samråda
med Säkerhetspolisen och Försvarsmakten. Regeringskansliet (Utrikes-
departementet) ska underrättas om innehållet i föreskrifterna.
8 § De myndigheter som enligt 1 § första stycket 3��6 utövar tillsyn över
enskilda verksamhetsutövare får inom sitt respektive ansvarsområde
meddela föreskrifter som kompletterar sådana föreskrifter som meddelats
med stöd av 4��5 och 7 §§ av Säkerhetspolisen, Försvarsmakten och
Försvarets materielverk. Innan en myndighet meddelar föreskrifter ska
myndigheten samråda med Säkerhetspolisen och Försvarsmakten.
9 § Myndigheter som omfattas av säkerhetsskyddslagen (2018:585) får
meddela ytterligare föreskrifter om verkställigheten av den lagen i fråga om
säkerhetsskyddet för sin egen verksamhet. Om det behövs ska en myndighet
innan sådana föreskrifter meddelas ge Säkerhetspolisen och Försvarsmakten
tillfälle att yttra sig.
Rådgivning
10 § Säkerhetspolisen och Försvarsmakten ska på begäran lämna råd om
säkerhetsskydd till Regeringskansliet, riksdagen och dess myndigheter och
till Justitiekanslern.
Säkerhetspolisen och Försvarsmakten ska informera varandra när råd har
lämnats enligt första stycket.
2018:658
12
SFS
11 § De myndigheter som utövar tillsyn över enskilda verksamhetsutövare
ska inom sina respektive ansvarsområden lämna råd om säkerhetsskydd.
��verklagande
12 § Beslut enligt denna förordning får inte överklagas.
1. Denna förordning träder i kraft den 1 april 2019.
2. Förordningen tillämpas inte på sådana internationella åtaganden om
säkerhetsskydd som anges i 6 kap. 1 § och som ingåtts före ikraftträdandet.
3. Bestämmelsen i 3 kap. 7 § tillämpas inte på handlingar som är
arkiverade vid ikraftträdandet. I fråga om andra handlingar som har märkts
enligt säkerhetsskyddslagen (1996:627) ska 3 kap. 7 § tillämpas från och
med den 1 januari 2022.
4. Genom förordningen upphävs säkerhetsskyddsförordningen (1996:633).
5. Ett beslut om registerkontroll enligt 26 eller 27 § säkerhets-
skyddsförordningen (1996:633) ska, om inte annat beslutas, motsvara ett
beslut om placering i säkerhetsklass 3 enligt 3 kap. 8 § säkerhets-
skyddslagen (2018:585), dock längst till dess att ett beslut om placering i
säkerhetsklass meddelas enligt den lagen. Ett sådant beslut ska meddelas
senast vid utgången av 2024.
6. Säkerhetsskyddsklassificerade uppgifter får, trots bestämmelsen i
3 kap. 9 §, lämnas ut till en utländsk myndighet eller mellanfolklig
organisation fram till utgången av 2021 utan att omfattas av ett
internationellt säkerhetsskyddsåtagande hos den mottagande myndigheten
eller organisationen.
På regeringens vägnar
HEL�0NE FRITZON
Karin Erlingsson
(Justitiedepartementet)
2018:658
13
SFS
Bilaga
Följande statliga myndigheter beslutar om placering i säkerhetsklass i
enlighet med vad som anges i 5 kap. 8 §.
Affärsverket svenska kraftnät
Allmänna domstolarna
Allmänna förvaltningsdomstolarna
Arbetsförmedlingen
Arbetsgivarverket
Arbetsmiljöverket
Brottsförebyggande rådet
Centrala studiestödsnämnden
Datainspektionen
Domstolsverket
E-hälsomyndigheten
Ekobrottsmyndigheten
Ekonomistyrningsverket
Elsäkerhetsverket
Energimarknadsinspektionen
Exportkreditnämnden
Finansinspektionen
Folke Bernadotteakademin
Folkhälsomyndigheten
Fortifikationsverket
Försvarets materielverk
Försvarets radioanstalt
Försvarshögskolan
Försvarsmakten
Försvarsunderrättelsedomstolen
Försäkringskassan
Granskningsnämnden för försvarsuppfinningar
Havs- och vattenmyndigheten
Hyres- och arrendenämnderna
Inspektionen för strategiska produkter
Justitiekanslern
Konkurrensverket
Kriminalvården
Kronofogdemyndigheten
Kustbevakningen
Lantmäteriet
Livsmedelsverket
Luftfartsverket
Läkemedelsverket
länsstyrelserna
Migrationsverket
Myndigheten för digital förvaltning
Myndigheten för samhällsskydd och beredskap
Myndigheten för tillväxtpolitiska utvärderingar och analyser
Naturvårdsverket
Patent- och registreringsverket
Pensionsmyndigheten
Polismyndigheten
2018:658
14
SFS
Post- och telestyrelsen
Regeringskansliet
Riksarkivet
Riksgäldskontoret
Rymdstyrelsen
Sjöfartsverket
Skatteverket
Socialstyrelsen
Statens energimyndighet
Statens fastighetsverk
Statens haverikommission
Statens inspektion för försvarsunderrättelseverksamheten
Statens jordbruksverk
Statens servicecenter
Statens tjänstepensionsverk
Statens veterinärmedicinska anstalt
Statens överklagandenämnd
Statistiska centralbyrån
Statskontoret
Strålsäkerhetsmyndigheten
Styrelsen för internationellt utvecklingssamarbete
Sveriges geologiska undersökning
Sveriges lantbruksuniversitet
Sveriges meteorologiska och hydrologiska institut
Säkerhets- och integritetsskyddsnämnden
Säkerhetspolisen
Totalförsvarets forskningsinstitut
Totalförsvarets rekryteringsmyndighet
Trafikverket
Transportstyrelsen
Tullverket
Valmyndigheten
�&klagarmyndigheten
2018:658