Riksdagsstyrelsens föreskrift om ändring i riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna
rfsFöreskrifter i Riksdagsförvaltningens författningssamling 2022:2
Gällande
- Beslut av
- Riksdagsstyrelsen
- Typ av föreskrift
- Ändring
- RFS-grund
- 2019:1
- RFS-nummer
- 2022:2
Händelser
- Datum för tryck
- 2022-06-20
- Börjar gälla
- 2022-07-01
Riksdagsförvaltningens författningssamling
Riksdagsförvaltningens författningssamling, RFS, innehåller föreskrifter beslutade av Riksdagsförvaltningen (riksdagsstyrelsen eller riksdagsdirektören) eller andra myndigheter under riksdagen, förutom Riksbanken och Riksrevisionen.
Riksdagsförvaltningens
författningssamling
Riksdagsstyrelsens föreskrift om ändring i riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna;
utfärdad den 16 juni 2022.
RFS 2022:2
Utkom från trycket den 20 juni 2022
Riksdagsstyrelsen föreskriver med stöd av 7 § 5 lagen (2011:745) med instruktion för Riksdagsförvaltningen i fråga om riksdagsstyrelsens föreskrift (RFS 2019:1) om säkerhet och säkerhetsskydd i riksdagen, Riksdagsförvaltningen och partikanslierna
dels att 4 och 10 kap. ska upphöra att gälla,
dels att nuvarande 3 kap. 4 och 5 §§ ska betecknas 3 kap. 7 och 8 §§,
dels att 3 kap. 1 och 2 §§, 6 kap. 14 §, 8 kap. 2, 3 och 9 §§, 9 kap. 1–3 §§,
12 kap. 2 §, 13 kap. 2 § och rubriken närmast före 3 kap. 1 § ska ha följande lydelse,
dels att det ska införas tre nya kapitel, 4, 4 a och 10 kap., nio nya paragrafer, 1 kap. 4 §, 3 kap. 4–6 och 9 §§, 5 kap. 2–5 §§ och närmast före 1 kap. 4 §, 3 kap. 4–6 och 9 §§, 5 kap. 4 och 5 §§ nya rubriker av följande lydelse,
dels att det närmast före 3 kap. 8 § ska införas en ny rubrik som ska lyda ”Skadebedömning”.
1 kap.
Företräde för bestämmelser i vissa internationella överenskommelser
4 § Om det i en överenskommelse som avses i 10 kap. 1 eller 2 § regeringsformen som rör ett visst internationellt samarbete förekommer bestämmelser om säkerhetsskydd som avviker från dessa föreskrifter, ska bestämmelserna i överenskommelsen ha företräde, under förutsättning att de inte strider mot en bestämmelse i lag eller förordning.
1
RFS 2022:2
3 kap.
Behörighet att medverka i säkerhetskänslig verksamhet
1§ Behörig att få del av säkerhetsskyddsklassificerade uppgifter eller tillgång till säkerhetskänslig verksamhet i övrigt är, om inte något annat följer av bestämmelser i lag, endast den som
1.har bedömts pålitlig från säkerhetssynpunkt,
2.har tillräckliga kunskaper om säkerhetsskydd, och
3.behöver uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt medverka i den säkerhetskänsliga verksamheten.
2§ Den som tillåts ta del av säkerhetsskyddsklassificerade uppgifter ska upplysas om räckvidden och innebörden av den sekretess och tystnadsplikt som följer av regeringsformen, riksdagsordningen, offentlighets- och sekretesslagen (2009:400), lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter respektive säkerhetsskyddslagen (2018:585).
Säkerhetsskyddsanalys
4§ Säkerhetsskyddsanalysen ska identifiera vilka säkerhetsskyddsklassificerade uppgifter och vilken säkerhetskänslig verksamhet i övrigt som finns i verksamheten samt vilka hot och sårbarheter som finns kopplade till dessa skyddsvärden. Säkerhetsskyddsanalysen ska även innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga.
Analysen ska uppdateras vid behov.
Säkerhetsskyddsplan
5§ När säkerhetsskyddsanalysen är fastställd ska Riksdagsförvaltningen upprätta en säkerhetsskyddsplan. Planen ska redogöra för hur behovet av säkerhetsskyddsåtgärder som identifierats i säkerhetsskyddsanalysen omhändertas. Det ska vidare framgå när åtgärderna ska vidtas och vilken funktion som ansvarar för dem.
Särskild säkerhetsskyddsbedömning
6 § Av 18 § lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter följer att Riksdagsförvaltningen inför vissa förfaranden ska göra en särskild säkerhetsskyddsbedömning.
Den särskilda säkerhetsskyddsbedömningen ska beskriva
1.vilka skyddsvärden som kan komma att påverkas av förfarandet och på vilket sätt,
2.vilka säkerhetshot som föreligger mot de påverkade skyddsvärdena och den säkerhetskänsliga verksamheten i stort,
2
RFS 2022:2
3.vilka sårbarheter som föreligger för de påverkade skyddsvärdena och den säkerhetskänsliga verksamheten i stort samt hur sårbarheterna påverkas av förfarandet, och
4.vilka säkerhetsskyddsåtgärder som är nödvändiga som en följd av förfarandet.
I 4 a kap. 5 § finns ytterligare bestämmelser om särskild säkerhetsskyddsbedömning inför driftsättning av informationssystem.
En särskild säkerhetsskyddsbedömning ska godkännas av säkerhetsskyddschefen eller den som han eller hon bestämmer.
Anmälan vid säkerhetshotande händelser och säkerhetshotande verksamhet
9§ Med säkerhetshotande händelser och säkerhetshotande verksamhet enligt 3 § lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter avses att
1.det finns skäl att anta att en säkerhetsskyddsklassificerad uppgift i säkerhetsskyddsklassen konfidentiell eller högre otillåtet har röjts,
2.det inträffat en it-incident i ett informationssystem som Riksdagsförvaltningen är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller
3.Riksdagsförvaltningen får kännedom eller misstanke om någon annan för förvaltningen allvarlig säkerhetshotande verksamhet.
Anmälningsskyldigheten enligt första stycket 2 gäller inte för informationssystem där en incident enbart kan medföra ringa skada för Sveriges säkerhet.
4 kap. Informationssäkerhet
1§ I riksdagsdirektörens föreskrift (RFS 2016:2) om informationssäkerhet finns bestämmelser om informationssäkerhet för Riksdagsförvaltningen.
Generella krav på hantering
2§ Säkerhetsskyddsklassificerade uppgifter och handlingar ska hanteras så att inga obehöriga kan ta del av dem.
3§ Säkerhetsskyddsklassificerade uppgifter får behandlas endast i informationssystem eller på lagringsmedium som Riksdagsförvaltningen godkänt för lägst den säkerhetsskyddsklass som uppgifterna har.
4§ Den som överlämnar en säkerhetskyddsklassificerad uppgift till någon annan ska uppmärksamma mottagaren på säkerhetsskyddsklassificeringen.
3
RFS 2022:2
Förvaring i riksdagens lokaler
5§ Handlingar och lagringsmedier som innehåller säkerhetsskyddsklassificerade uppgifter ska vara under kontroll eller förvaras i ett förvaringsutrymme som Riksdagsförvaltningen godkänt för lägst den säkerhetsskyddsklass som uppgifterna har.
Kraven i första stycket gäller inte om uppgifterna skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.
Medförande utanför riksdagens lokaler
6§ Om handlingar och lagringsmedier som innehåller säkerhetsskyddsklassificerade uppgifter medförs utanför riksdagens lokaler ska de vara under kontroll eller förvaras i ett förvaringsutrymme som Riksdagsförvaltningen godkänt för lägst den säkerhetsskyddsklass som uppgifterna har.
Kraven i första stycket gäller inte om uppgifterna skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.
7§ Handlingar och lagringsmedier som innehåller säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen kvalificerat hemlig får medföras från riksdagens lokaler endast efter beslut av den som är högsta chef eller motsvarande organ för den verksamhet där handlingen eller lagringsmediet förekommer, eller av den som en sådan chef eller ett sådant organ bestämmer.
Kopior och utdrag
8§ Kopior av handlingar eller lagringsmedier som innehåller säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen kvalificerat hemlig får göras endast efter beslut av den som är högsta chef eller motsvarande organ för den verksamhet där handlingen eller lagringsmediet förekommer, eller av den som en sådan chef eller ett sådant organ bestämmer.
Detsamma gäller för utdrag ur sådana handlingar.
Anteckningar
9§ En säkerhetsskyddsklassificerad handling ska förses med en anteckning om vilken säkerhetsskyddsklass uppgifterna i handlingen har. Om handlingen innehåller uppgifter med olika säkerhetsskyddsklass ska den högsta säkerhetsskyddsklassen avgöra vilken anteckning handlingen ska ha.
Om en säkerhetsskyddsklassificerad handling kan antas komma att lämnas över till en utländsk myndighet, mellanfolklig organisation eller utländsk leverantör, ska den förses med en anteckning om ursprungsland om det inte är olämpligt.
4
RFS 2022:2
10§ En säkerhetsskyddsklassificerad allmän handling i säkerhetsskyddsklassen konfidentiell eller högre ska förses med en anteckning om handlingens beteckning, antal sidor och, i förekommande fall, uppgift om bilagor.
11§ En säkerhetsskyddsklassificerad fysisk allmän handling i säkerhetsskyddsklassen konfidentiell eller högre ska förses med en anteckning om handlingens exemplarnummer.
12§ Om det beslutas att en säkerhetsskyddsklassificerad handling inte längre ska vara indelad i säkerhetsskyddsklass eller ska delas in i en annan säkerhetsskyddsklass, ska detta antecknas på handlingen eller i ett register. Det ska framgå av anteckningen vem som har fattat beslutet och när det fattades.
13§ Om ett beslut som avses i 12 § innebär att en säkerhetsskyddsklassificerad handling i säkerhetsskyddsklassen kvalificerat hemlig inte längre ska vara indelad i säkerhetsskyddsklassen kvalificerat hemlig, ska beslutet fattas av den som är högsta chef eller motsvarande organ för den verksamhet där handlingen förekommer, eller av den som en sådan chef eller ett sådant organ bestämmer.
Om handlingen upprättats av någon annan än riksdagen eller Riksdagsförvaltningen ska samråd ske med den som upprättat handlingen innan beslutet fattas. En anteckning om samrådet ska göras på handlingen.
Register över vissa säkerhetsskyddsklassificerade handlingar
14§ I ett register över säkerhetsskyddsklassificerade fysiska allmänna handlingar i säkerhetsskyddsklassen konfidentiell eller högre ska handlingarnas beteckning, säkerhetsskyddsklass, antal exemplar och mottagare av respektive exemplar framgå.
För varje exemplar som förvaras hos riksdagen eller Riksdagsförvaltningen ska det av registret framgå vem som har kvitterat exemplaret, när exemplaret har inventerats och om exemplaret har återlämnats, förkommit, arkiverats eller förstörts.
Märkning av lagringsmedier
15§ Lagringsmedier för säkerhetsskyddsklassificerade uppgifter ska märkas med säkerhetsskyddsklass och identifieringsuppgift. Om lagringsmediet är fast monterat i annan utrustning ska i stället utrustningen märkas.
Ett lagringsmedium som används endast en gång för omedelbar överföring av säkerhetskyddsklassificerade uppgifter mellan två informationssystem och som därefter omedelbart lämnas in för förstöring behöver inte märkas.
5
RFS 2022:2
Inventering av säkerhetsskyddsklassificerade handlingar
16§ Säkerhetsskyddsklassificerade fysiska allmänna handlingar som
innehåller uppgifter i säkerhetsskyddsklassen konfidentiell eller högre ska inventeras minst en gång per år.
Lagringsmedier som innehåller uppgifter i säkerhetsskyddsklassen konfidentiell eller högre ska inventeras minst en gång per år.
För arkiverade handlingar gäller kravet på inventering enbart för handlingar i säkerhetsskyddsklassen kvalificerat hemlig.
Skydd för säkerhetsskyddsklassificerade uppgifter som lämnas till utländska aktörer
17§ Säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet eller en mellanfolklig organisation ska omfattas av ett internationellt säkerhetsskyddsåtagande som Sverige har ingått med den andra staten eller organisationen, om det inte finns särskilda skäl för att sådana uppgifter ändå kan lämnas.
Säkerhetsskyddsklassificerade uppgifter får inte lämnas till en utländsk leverantör om inte Sverige har ingått ett internationellt säkerhetsskyddsåtagande med den andra staten och leverantören har godkänts genom en kontroll enligt den andra statens säkerhetsskyddslagstiftning.
18§ Försändelser till och från utlandet med säkerhetsskyddsklassificerade handlingar som inte skyddas av kryptografiska funktioner enligt 4 a kap. 7 § ska sändas på ett sådant sätt att säkerhetsskyddet upprätthålls.
Kvittering
19§ Den som tar emot en säkerhetsskyddsklassificerad fysisk allmän handling i säkerhetsskyddsklassen konfidentiell eller högre ska kvittera mottagandet i ett register, en liggare eller på ett kvitto.
När en sådan handling återlämnas ska detta antecknas på kvittensen.
20§ Riksdagsförvaltningen ska anteckna vem som är mottagare av en säkerhetsskyddsklassificerad allmän elektronisk handling i säkerhetsskyddsklassen kvalificerat hemlig i handlingen eller i ett register.
21§ Vad som anges i 19 och 20 §§ gäller inte när arkiv-, expeditions-, sambands- eller tryckeripersonal tar emot en säkerhetsskyddsklassificerad handling för registrering, kopiering, distribution, arkivering eller förstöring, om inte den som lämnar över handlingen begär kvittering. Vad som anges i
20§ gäller inte heller för personal som arbetar med drift av informationssystem när personalen hanterar lagringsmedium som har tilldelats eller ska tilldelas andra personer.
6
RFS 2022:2
22§ När uppgifter i en säkerhetsskyddsklassificerad allmän handling i säkerhetsskyddsklassen kvalificerat hemlig, lämnas muntligt eller genom visning, ska kvittering ske i ett register, i en liggare eller på ett kvitto. Om uppgifterna lämnas vid ett sammanträde i ett utskott, EU-nämnden eller kammaren kan kvittering ersättas med en anteckning i sammanträdesprotokollet. Det ska framgå av anteckningen vem som har lämnat uppgifterna, när de har lämnats och till vem eller vilka de har lämnats.
Förstöring
23§ Förstöring av säkerhetsskyddsklassificerade uppgifter ska ske så att varken åtkomst till eller återskapande av uppgifterna är möjligt.
24§ Förstöring av en säkerhetsskyddsklassificerad fysisk allmän handling i säkerhetsskyddsklassen konfidentiell eller högre ska dokumenteras.
Förstöring av lagringsmedier som innehåller uppgifter i säkerhetsskyddsklassen konfidentiell eller högre ska dokumenteras.
Ytterligare bestämmelser om hantering
25§ Ytterligare bestämmelser om hantering av säkerhetsskyddsklassificerade uppgifter beslutas av Riksdagsförvaltningen.
4 a kap. Informationssäkerhet i och kring informationssystem
1§ I riksdagsdirektörens föreskrift (RFS 2016:2) om informationssäkerhet finns bestämmelser om informationssäkerhet i och kring informationssystem för Riksdagsförvaltningen.
Skydd för riksdagens informationssystem
2§ Skyddet för riksdagens informationssystem ska utformas med beaktande av behoven av tillgänglighet, riktighet och konfidentialitet samt med hänsyn till enskildas integritet.
3§ Riksdagsförvaltningen ska vidta åtgärder för att
1.upptäcka intrång eller försök eller förberedelse till intrång i riksdagens informationssystem, och
2.förhindra obehörig åtkomst till riksdagens informationssystem. Åtgärder som avses i första stycket får inte innefatta undersökning av det
sakliga innehållet i informationen som finns i riksdagens informationssystem och som lagras hos användare.
Andra stycket gäller inte informationssystem som behandlar säkerhetsskyddsklassificerade uppgifter eller informationssystem där en incident kan medföra allvarlig eller synnerligen allvarlig skada för Sveriges säkerhet.
7
RFS 2022:2
Förvaring och hantering av teknisk och elektronisk utrustning
4§ Teknisk och elektronisk utrustning som tillhandahålls av Riksdagsförvaltningen ska förvaras och hanteras på ett sådant sätt att obehörig åtkomst av informationen förhindras och att utrustningen har ett rimligt skydd mot stöld, brand och skadegörelse.
Ytterligare bestämmelser om krav på förvaring och hantering av teknisk och elektronisk utrustning avsedd för behandling av säkerhetsskyddsklassificerade uppgifter beslutas av Riksdagsförvaltningen.
Informationssystem som används i säkerhetskänslig verksamhet
5§ Innan ett informationssystem som har betydelse för säkerhetskänslig verksamhet tas i drift ska Riksdagsförvaltningen genom en särskild säkerhetsskyddsbedömning ta ställning till vilka säkerhetskrav i systemet som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses. Säkerhetsskyddsbedömningen ska dokumenteras.
6§ Ett informationssystem som ska behandla säkerhetsskyddsklassificerade uppgifter eller ett informationssystem där en incident kan medföra allvarlig eller synnerligen allvarlig skada för Sveriges säkerhet får inte tas i drift förrän det har godkänts från säkerhetsskyddssynpunkt av säkerhetsskyddschefen. Godkännandet ska dokumenteras.
7§ Innan säkerhetsskyddsklassificerade uppgifter behandlas i ett informationssystem utanför Riksdagsförvaltningens kontroll ska förvaltningen försäkra sig om att säkerhetsskyddet för uppgifterna i systemet är tillräckligt.
Om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför Riksdagsförvaltningens kontroll ska uppgifterna skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.
Riksdagsförvaltningen får, om det finns särskilda skäl, besluta om undantag från kraven i andra stycket. Om undantaget avser säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre ska Riksdagsförvaltningen samråda med Försvarsmakten och Säkerhetspolisen innan beslut om undantag tas. Om kravet följer av ett internationellt säkerhetsskyddsåtagande ska även samråd med Regeringskansliet (Utrikesdepartementet) ske.
Krav på informationssystem vid säkerhetsskyddsavtal
8§ Vid säkerhetsskyddsavtal i nivå 1, där säkerhetsskyddsklassificerade uppgifter förvaras i informationssystem utanför Riksdagsförvaltningens kontroll, kan Riksdagsförvaltningen i stället välja att kravställa informationssystemet enligt Säkerhetspolisens eller Försvarsmaktens föreskrifter om säkerhetsskydd.
8
RFS 2022:2
Signalskydd
9§ I förordningen (2007:1266) med instruktion för Försvarsmakten finns bestämmelser om att Försvarsmakten får meddela övriga statliga myndigheter föreskrifter i frågor om signalskyddstjänsten inklusive säkra kryptografiska funktioner inom totalförsvaret, förutom i fråga om verkställigheten av 18 § förordningen (2015:1053) om totalförsvar och höjd beredskap.
5 kap.
2 § Koder, kort, nycklar och motsvarande som var för sig ger åtkomst till platser där säkerhetskänslig verksamhet bedrivs ska vara under kontroll eller förvaras i ett förvaringsutrymme som Riksdagsförvaltningen har godkänt för förvaring av säkerhetsskyddsklassificerade handlingar i motsvarande nivå som den säkerhetskänsliga verksamhetens betydelse för Sveriges säkerhet. Detsamma gäller koder, kort, nycklar och motsvarande som i förening ger åtkomst till platser där säkerhetskänslig verksamhet bedrivs, om dessa förvaras tillsammans.
3§ Riksdagsförvaltningen ska ha en förteckning över koder, kort och nycklar till områden, byggnader och andra anläggningar eller objekt där säkerhetskänslig verksamhet bedrivs. Av förteckningen ska det framgå till vem de har lämnats och när de lämnades samt var reservkod eller reservnyckel förvaras. Det ska vidare framgå om och i så fall när de återlämnats.
Skydd mot obehörig avlyssning av samtal
4§ Riksdagsförvaltningen ska besluta om vilka utrymmen som är godkända för regelbundna samtal som behandlar säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre. Av beslutet ska framgå den högsta säkerhetsskyddsklass för de uppgifter som får samtalas om i utrymmet.
Riksdagsförvaltningen ska endast godkänna ett utrymme avsett för samtal som behandlar säkerhetsskyddsklassificerade uppgifter om utrymmet är försett med eller omges av åtgärder för att försvåra obehörig avlyssning utifrån identifierade säkerhetshot och en beskrivning av dimensionerade antagonistiska förmågor, om Säkerhetspolisen har tillhandahållit en sådan.
Skydd mot obehörig insyn
5§ Riksdagsförvaltningen ska se till att utrymmen där säkerhetsskyddsklassificerade uppgifter regelbundet hanteras är försedda med eller omges av åtgärder för att försvåra obehörig insyn utifrån identifierade säkerhetshot och en beskrivning av dimensionerade antagonistiska förmågor, om Säkerhetspolisen har tillhandahållit en sådan.
9
RFS 2022:2
6 kap.
14§ Riksdagsförvaltningen får utfärda identitetskort för talmannen, riksdagsledamöter, ersättare för talmannen, statsråd och statssekreterare samt för anställda vid Riksdagsförvaltningen. Korten ska följa en godkänd standard.
8 kap.
2§ Riksdagsförvaltningen ska med utgångspunkt i säkerhetsskyddsanalysen föra en förteckning över vilka anställningar eller annat deltagande i säkerhetskänslig verksamhet som placerats i säkerhetsklass eller som ska föregås av registerkontroll enligt 3 kap. 15 § säkerhetsskyddslagen (2018:585).
3§ Riksdagsförvaltningen beslutar om placering i säkerhetsklass vid
1.anställning eller annat deltagande i riksdagens eller Riksdagsförvaltningens verksamhet, och
2.anställning eller uppdrag hos en aktör som Riksdagsförvaltningen har ingått ett säkerhetsskyddsavtal med enligt 12 § lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter.
9§ Resultatet av säkerhetsprövningen ska dokumenteras i de fall en person har bedömts vara pålitlig ur säkerhetssynpunkt och beslut har fattats om anställning eller annat deltagande i verksamheten.
Uppgifter som framkommit vid säkerhetsprövningen och som behövs för att följa upp säkerhetsprövningen under den tid som deltagandet i den säkerhetskänsliga verksamheten pågår ska dokumenteras.
9kap.
1§ I 5 kap. 1–3 §§ säkerhetsskyddslagen (2018:585) finns bestämmelser om säkerhetsintyg.
2 § Om en person ansöker om ett säkerhetsintyg enligt 5 kap. 1 § säkerhetsskyddslagen (2018:585), får en tidigare gjord säkerhetsprövning läggas till grund för utfärdande av ett sådant intyg i den utsträckning som är lämpligt.
3§ Bestämmelserna i 8 kap. om säkerhetsprövning, registerkontroll och särskild personutredning gäller vid ärenden enligt 5 kap. 1 § säkerhetsskyddslagen (2018:585).
10
RFS 2022:2
10 kap. Skyldigheter när en annan aktör kan få tillträde till säkerhetskänslig verksamhet
1 § I 12–19 §§ lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter finns bestämmelser om säkerhetsskyddsavtal och skyldigheter inför förfaranden som kräver säkerhetsskyddsavtal.
Nivåer
2§ Ett säkerhetsskyddsavtal ska ingås på någon av följande nivåer:
–Nivå 1: Om den andra aktören kommer att få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller få tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet utanför riksdagens lokaler och områden.
–Nivå 2: Om den andra aktören kommer att få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller få tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet inom riksdagens lokaler och områden.
–Nivå 3: Om den andra aktören kan komma att få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller få tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet inom riksdagens lokaler och områden.
Förfaranden som inte omfattas av krav på säkerhetsskyddsavtal
3§ När Riksdagsförvaltningen avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör som rör säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig eller säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet ska förvaltningen säkerställa att säkerhetsskyddet regleras på något annat sätt än genom ett säkerhetsskyddsavtal.
Anmälan av säkerhetsskyddsavtal
4§ Säkerhetsskyddsavtal som Riksdagsförvaltningen har ingått ska anmälas till Säkerhetspolisen. En sådan anmälan ska också göras när ett säkerhetsskyddsavtal upphör att gälla.
Godkännande av lokaler och utrymmen
5§ När Riksdagsförvaltningen avser att ingå ett säkerhetsskyddsavtal på nivå 1 ska förvaltningen på plats inspektera motpartens säkerhetsskydd beträffande aktuella lokaler eller utrymmen. Lokalerna eller utrymmena får endast godkännas om kraven enligt säkerhetsskyddsavtalet kan tillgodoses.
11
RFS 2022:2
Säkerhetsprövning och utbildning
6§ Riksdagsförvaltningen ska med utgångspunkt i säkerhetsskyddsanalysen och den särskilda säkerhetsskyddsbedömningen bedöma vilka befattningar hos motparten som ska placeras i säkerhetsklass och vilka befattningar hos motparten som ska säkerhetsprövas utan placering i säkerhetsklass.
Bedömningen ska resultera i en förteckning och omfatta motpartens
ledning, personal och övriga hos motparten som ska delta i den säkerhetskänsliga verksamheten.
7§ Riksdagsförvaltningen ska säkerställa att personal hos en motpart som förvaltningen har ingått säkerhetsskyddsavtal med har relevant kunskap inom säkerhetsskydd och tillräcklig kännedom om förvaltningens skyddsvärden för arbetet de ska utföra.
Säkerhetsskyddsinstruktion
8§ När ett säkerhetsskyddsavtal har ingåtts i nivå 1 ska Riksdagsförvaltningen säkerställa att motparten dokumenterar hur denna uppfyller kravet på säkerhetsskydd enligt avtalet i en säkerhetsskyddsinstruktion. En sådan säkerhetsskyddsinstruktion ska godkännas av Riksdagsförvaltningen.
Kontroll av att motparten följer säkerhetsskyddsavtalet
9§ Riksdagsförvaltningen ska under den tid förfarandet pågår kontrollera att motparten följer kraven enligt säkerhetsskyddsavtalet.
Vid säkerhetsskyddsavtal i nivå 1 ska Riksdagsförvaltningen regelbundet på plats kontrollera motpartens säkerhetsskydd beträffande aktuella lokaler eller utrymmen.
Vid samverkan eller samarbete mellan aktörer som bedriver säkerhetskänslig verksamhet kan det i säkerhetsskyddsavtalet regleras att respektive part ansvarar för att följa upp att den egna verksamheten uppfyller kraven på säkerhetsskydd enligt säkerhetsskyddsavtalet. Riksdagsförvaltningen ska då kontrollera att motparten gjort en sådan uppföljning.
När säkerhetsskyddsavtalet upphört
10§ När ett säkerhetsskyddsavtal har upphört att gälla ska Riksdagsförvaltningen upplysa motparten om den tystnadsplikt som gäller för de säkerhetsskyddsklassificerade uppgifter som motparten har fått tillgång till genom förfarandet.
Motparten ska återlämna eller förstöra alla säkerhetsskyddsklassificerade uppgifter enligt Riksdagsförvaltningens anvisningar.
12
RFS 2022:2
Undantag vid samverkan eller samarbete mellan aktörer som bedriver säkerhetskänslig verksamhet
11§ Vid samverkan eller samarbete mellan aktörer som bedriver säkerhetskänslig verksamhet kan ett säkerhetsskyddsavtal ingås mellan fler än två parter. Avtalet ska då ingås i en nivå som motsvarar den högsta nivå som hade gällt ifall parterna i stället ingått bilaterala avtal.
Av 3 kap. 3 § första stycket säkerhetsskyddslagen (2018:585) följer att säkerhetsprövningen får göras mindre omfattande om det finns särskilda skäl. Vid samarbete eller samverkan mellan aktörer som bedriver säkerhetskänslig verksamhet kan grundutredning, registerkontroll och särskild personutredning underlåtas för det fall personen i fråga redan är föremål för en säkerhetsprövning som omfattar samarbetet eller samverkan.
12§ Vid samverkan eller samarbete mellan aktörer som bedriver säkerhetskänslig verksamhet ska 5–8 §§, 9 § andra stycket och 10 § första stycket inte tillämpas.
Anmälan om samråd
13§ Till anmälan om samråd i förfaranden som kräver säkerhetsskyddsavtal enligt 19 § lagen (2019:109) om säkerhetsskydd i riksdagen och dess myndigheter ska bifogas den särskilda säkerhetsskyddsbedömningen, lämplighetsprövningen och utkastet till säkerhetsskyddsavtal. Anmälan ska vara undertecknad av säkerhetsskyddschefen.
12 kap.
2 § Den som är ansvarig för en säkerhetskänslig verksamhet ska se till att den som anställs eller på annat sätt deltar i verksamheten får utbildning i säkerhetsskydd. Deltagandet i utbildningen och utbildningens innehåll ska dokumenteras. Behovet av utbildning ska följas upp under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.
13 kap.
2§ Den som uppmärksammar att säkerhetsskyddsklassificerade uppgifter kan ha förlorats eller röjts ska skyndsamt anmäla det till närmaste chef. Denna chef ska i sin tur skyndsamt informera säkerhetsskyddschefen eller den som han eller hon bestämmer.
–––––––––––––––––
1.Denna föreskrift träder i kraft den 1 juli 2022.
2.Bestämmelsen i 4 kap. 9 § tillämpas inte på handlingar som var arkiverade den 1 april 2019.
13
RFS 2022:2
3.Bestämmelserna i 4 kap. 10, 11, 16, 19 och 24 §§ behöver inte till-
lämpas på säkerhetsskyddsklassificerade handlingar i säkerhetsskyddsklassen konfidentiell förrän den 1 januari 2023.
4.Bestämmelsen i 4 kap. 14 § om register över vissa säkerhetsskyddsklassificerade handlingar behöver inte tillämpas förrän den 1 januari 2023.
5.Bestämmelsen i 4 kap. 16 § andra stycket om inventering av säkerhetsskyddsklassificerade handlingar behöver inte tillämpas förrän den 1 januari 2023.
6.Bestämmelsen i 4 kap. 17 § om säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet, mellanfolklig organisation eller utländsk leverantör behöver inte tillämpas förrän den 1 januari 2025.
Riksdagsförvaltningen
Ingvar Mattson
Lars Seger
| Beställning: | |
| Riksdagens tryckeriexpedition, e-post: order.riksdagstryck@riksdagen.se, tfn: 08-786 58 10 | |
| 14 | Tryck: Riksdagstryckeriet, Stockholm 2022 |
Riksdagsförvaltningens författningssamling
Riksdagsförvaltningens författningssamling, RFS, innehåller föreskrifter beslutade av Riksdagsförvaltningen (riksdagsstyrelsen eller riksdagsdirektören) eller andra myndigheter under riksdagen, förutom Riksbanken och Riksrevisionen.