Säkerhetsskydd inom energisektorn
Säkerhetsskyddslagen och säkerhetsskyddsförordningen gäller alla som bedriver säkerhetskänslig verksamhet, både offentliga och enskilda verksamhetsutövare. Säkerhetsskyddslagen trädde i kraft den 1 april 2019.
Säkerhetsskyddslagstiftningen har till syfte att säkerställa ett skydd för de verksamheter som är allra mest skyddsvärda för Sverige. Den typen av verksamhet bedrivs i olika verksamhetsformer. Om ni bedriver säkerhetskänslig verksamhet omfattas ni av säkerhetsskyddslagen, oavsett verksamhetsform..
Energimyndigheten är tillsynsmyndighet över enskilda verksamhetsutövare. Det innebär att aktiebolag, ekonomiska föreningar, stiftelser med flera är potentiella tillsynsobjekt.
Förändringar i lagen
För att ytterligare stärka skyddet av Sveriges säkerhet har riksdagen beslutat om förändringar i säkerhetsskyddslagen som gäller från den 1 december 2021. Den som bedriver säkerhetskänslig verksamhet kallas i säkerhetsskyddslagen för verksamhetsutövare.
Förändringarna i lagen innebär bland annat nya tillsynsmyndigheter och nyheter för verksamhetsutövare. Bland annat kan vitesföreläggande och sanktionsavgifter utfärdas för den som inte följer lagen.
-
Vilka träffas av lagen?
Det är verksamhetsutövarna själva som har ett ansvar att identifiera om den egna verksamheten omfattas av säkerhetsskyddslagen eller inte.
Energimyndigheten har tillsynsansvar för verksamhetsutövare inom fjärrvärme-, naturgas-, olje- och drivmedelsförsörjning som bedriver säkerhetskänslig verksamhet.
Verksamhetsutövare som träffas av lagen:
- Ansvarar för att utreda om verksamheten är säkerhetskänslig och dokumentera behovet av säkerhetsskydd.
- Ska säkra upp att det finns nödvändiga och proportionerliga säkerhetskyddsåtgärder för att skydda verksamheten.
- Ska göra en säkerhetsskyddsanalys. Analysen blir utgångspunkten för att identifiera vilken del av verksamheten som är skyddsvärd och vilka säkerhetsskyddsklassificerade uppgifter som finns.
- Ansvarar för att planera och vidta de säkerhetsskyddsåtgärder som behövs sett till verksamhetens art och omfattning, förekomsten av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.
- Ska kontrollera säkerhetsskyddet i den egna verksamheten och anmäla och rapportera sådant som är av vikt för säkerhetsskyddet.
- Ska vidta de åtgärder som krävs enligt säkerhetsskyddslagstiftningen.
Varje respektive bolag i koncernen måste uppfylla kraven
Den som bedriver säkerhetskänslig verksamhet kallas i lagen för verksamhetsutövare och ska uppfylla kraven i säkerhetsskyddslagstiftningen. Det finns inga undantag eller särskilda bestämmelser för företag som ingår i en koncern.
Därför behöver ni tänka på att varje företag som är en egen juridisk person med eget organisationsnummer är en separat verksamhetsutövare även om företagen ingår i samma koncern. Detta innebär bland annat:
- Alla bolag i en koncern som bedriver säkerhetskänslig verksamhet behöver anmäla det till tillsynsmyndigheten. Det är inte tillräckligt att koncernmoderbolaget anmäler det.
- Varje ledning i ett bolag inom en koncern behöver utse en säkerhetsskyddschef.
- För koncerninterna upphandlingar, avtal, samverkan eller samarbeten som inleds från den 1 december 2021 och som uppfyller kraven i 4 kap. 1 § säkerhetsskyddslagen ska säkerhetsskyddsavtal tecknas.
- För överlåtelser av säkerhetskänslig verksamhet mellan bolag i en koncern gäller 4 kap. 13–20 §§ säkerhetsskyddslagen.
-
Förändringar för verksamhetsutövare
Ändringarna innebär bland annat följande:
- Säkerhetsskyddschefer ska ha en mer framträdande roll i säkerhetsskyddsarbetet.
- Verksamhetsutövare ska ingå säkerhetsskyddsavtal i fler situationer som innebär att en annan aktör kan få tillgång till den säkerhetskänsliga verksamheten.
- Verksamhetsutövare ska göra en särskild säkerhetsskyddsbedömning och pröva lämpligheten av utkontrakteringar och liknande förfaranden som kräver säkerhetsskyddsavtal, samt i vissa fall samråda med tillsynsmyndigheten. Om ett förfarande är olämpligt ur säkerhets skyddssynpunkt ska tillsynsmyndigheten få besluta att det inte får genomföras och även ingripa i ett pågående förfarande.
- Tillsynsmyndigheterna får undersökningsbefogenheter och möjlighet att besluta vitesföreläggande och sanktionsavgift mot den som inte följer säkerhetsskyddslagstiftningens krav.
-
Nya tillsynsmyndigheter
Tillsynen över enskilda verksamhetsutövare (under Säkerhetsskyddslagen) har delats upp mellan 11 tillsynsmyndigheter:
- Svenska kraftnät
- Finansinspektionen
- Försvarets materielverk
- Länsstyrelserna i Norrbotten, Skåne, Stockholm, Västra Götalands län
- Post- och telestyrelsen
- Energimyndigheten
- Strålsäkerhetsmyndigheten
- Transportsstyrelsen
Säkerhetspolisen och Försvarsmakten är särpositionerade som samrådsmyndigheter med tillsynsansvar för tillsynsmyndigheterna och för de mest säkerhetskänsliga verksamheter.
Tillsynen över kommunala och regionala verksamheter som inte omfattas av annan tillsynsmyndighets ansvarsområde tilldelas länsstyrelserna i Norrbottens, Stockholms, Västra Götaland och Skåne län. Energimyndighetens övriga skyldigheter som tillsynsmyndighet för dessa verksamheter påverkas inte av detta.
-
Tillsynsmyndigheter får större befogenhet
I den ändrade lagen får tillsynsmyndigheter större ansvar och befogenhet att undersöka säkerhetsskyddet och eventuella brister. Brister måste åtgärdas omedelbart.
Tillsynsmyndigheter får även rätt att utfärda vitesföreläggande och sanktionsavgift för den som inte följer säkerhetsskyddslagen. En sanktionsavgift är som lägst 25 000 kronor och som högst 50 000 000 kronor.