Försvarets materielverk (FMV) org.nr 202100-0340
Försvarets materielverk (FMV) xxx.xx 202100-0340
115 88 STOCKHOLM
nedan kallad Myndigheten, och
,
,
,
,
nedan kallat Företaget,
träffar följande avtal om säkerhetsskydd i nivå 2.
Avtal om säkerhetsskydd i nivå 2
§ 1. Inledning
Myndigheten och Företaget ingår härmed avtal avseende det säkerhetsskydd som krävs för att i alla led kunna upprätthålla skydd av Sveriges säkerhet. Avtalet medger att Företaget i myndighetens lokaler eller av myndigheten anvisade områden eller lokaler får hantera och förvara säkerhetsskyddsklassificerad uppgift.
Enligt 1 kap. 2 § säkerhetsskyddslagen (2018:585) är säkerhetsskyddsklassificerad uppgift sådan uppgift som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen om den varit tillämplig.
Skyddet av säkerhetsskyddsklassificerad uppgift regleras, förutom i lag och förordning, av:
a) detta avtal,
b) gällande Industrisäkerhetsskyddsmanual (ISM), samt
c) i det särskilda fallet (uppdraget) gällande säkerhetsskyddskrav
Företaget är således alltid skyldigt att upprätthålla det säkerhetsskydd som krävs i syfte att skydda den säkerhetskänsliga verksamheten mot spionage, sabotage, terroristbrott och andra brott som kan hota verksamheten, samt även i andra fall skydda säkerhetsskyddsklassificerade uppgifter.
Säkerhetsskyddet skall mot denna bakgrund utgöra en stående punkt på företagsledningens agenda.
I det fall Myndigheten bedömer att Företagets moderbolag kan få del av säkerhetsskyddsklassificerade uppgifter, eller i övrigt kan få tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, kan Myndigheten besluta att ingå säkerhetsskyddsavtal även med moderbolaget.
Myndigheten har rätt att revidera detta avtal, gällande Industrisäkerhetsskyddsmanual (ISM) och i det särskilda fallet (uppdraget) gällande säkerhetsskyddskrav om det krävs på grund av ändrade förhållanden.
§2. Avtalets omfattning
Enligt 2 kap. 2-4 §§ säkerhetsskyddslagen (2018:585) skall säkerhetsskyddet omfatta följande säkerhetsskyddsåtgärder:
a. Informationssäkerhet skall:
1. förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och
2. förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
b. Fysisk säkerhet skall:
1. förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, och
2. förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i 1.
c. Personalsäkerhet skall:
1. förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och
2. säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
Avtalet reglerar det säkerhetsskydd och omfattar de säkerhetsskyddsintressen som uttrycks i offentlighets- och sekretesslagens (2009:400) 15 kap. 1 § (utrikessekretess), 15 kap. 2 §
(försvarssekretess), 18 kap. 2 § (underrättelseverksamhet) samt 18 kap. 8-9 §§ (säkerhets- eller bevakningsåtgärd respektive chiffer, kod, med mera).
Hantering av uppgift enligt ovan styrs av säkerhetsskyddsklassificeringen, vilken framgår av 2 kap. 5 § säkerhetsskyddslagen (2018:585) och gällande Industrisäkerhetsskyddsmanual (ISM).
§ 3. Säkerhetsskyddsavtal och affärsavtal
Detta säkerhetsskyddsavtal är en förutsättning men utgör ingen utfästelse eller garanti för att Myndigheten tecknar affärsavtal med Företaget.
De ekonomiska villkoren mellan Myndigheten och Företaget regleras i ett affärsavtal. Ett affärsavtal kan innehålla säkerhetsskyddskrav. Ifall motstridiga uppgifter avseende säkerhetsskydd förekommer gäller säkerhetsskyddsavtalet framför affärsavtalet.
§ 4. Underleverantörer
Företaget ansvarar för att anmäla till Myndigheten att man avser använda sig av underleverantör. Företaget får endast använda underleverantör efter att underleverantören tecknat säkerhetsskyddsavtal med Myndigheten.
§ 5. Säkerhetsskyddsorganisation
Företaget är skyldigt att ha en för verksamheten tillräckligt dimensionerad säkerhetsskydds- organisation. Myndigheten avgör i varje enskilt fall om säkerhetsskyddsorganisationen anses tillräcklig för verksamheten.
Företagets verkställande direktör (VD) är ytterst säkerhetsansvarig vid Företaget. Utöver VD skall säkerhetsskyddschef finnas.
Säkerhetsskyddschefen skall i säkerhetsskyddsfrågor vara direkt underställd VD och vara anställd vid företaget. Säkerhetsskyddschefen leder säkerhetsskyddsverksamheten inom Företaget och är kontaktperson i säkerhetsskyddsfrågor gentemot Myndigheten. Med undantag för enmansföretag får inte VD och säkerhetsskyddschef utgöras av samma person.
§ 6. Säkerhetsskyddsplanering
Företagets säkerhetsskyddsplanering skall omfatta:
a) verksamhetsanalys
b) säkerhetsskyddsanalys
c) säkerhetsskyddsplan (tidsatt ansvars- och åtgärdsplan)
d) säkerhetsskyddsbestämmelser (säkerhetsskyddsinstruktion)
Säkerhetsskyddsinstruktionen inklusive eventuella förändringar eller tillägg i säkerhetsskyddsinstruktionen skall granskas och godkännas av Myndigheten.
Företaget skall dokumentera sin säkerhetsskyddsverksamhet i en säkerhetsskyddsredovisning, som på begäran skall tillställas Myndigheten.
§ 7. Behörighet
Enligt 2 kap. 3 § säkerhetsskyddsförordningen är, om inte något annat följer av bestämmelser i lag, endast den behörig att ta del av säkerhetsskyddsklassificerade uppgifter eller i övrigt delta i säkerhetskänslig verksamhet, som :
1. har bedömts pålitlig från säkerhetssynpunkt,
2. har tillräckliga kunskaper om säkerhetsskydd, och
3. behöver uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt delta i den säkerhetskänsliga verksamheten.
Endast den som har godkänts av Myndigheten får meddelas säkerhetsskyddsklassificerad uppgift eller delta i säkerhetskänslig verksamhet.
§ 8. Informationssäkerhet
Myndigheten skall klargöra för Företaget vad som i det särskilda fallet utgörs av säkerhetsskyddsklassificerad uppgift eller säkerhetskänslig verksamhet.
I sin säkerhetsplanering skall även Företaget analysera vad som utgör säkerhetsskyddsklassificerad uppgift eller säkerhetskänslig verksamhet i det särskilda fallet. Vid tveksamhet åligger det Företaget att utreda detta i samråd med Myndigheten.
Samtliga säkerhetsskyddsklassificerade uppgifter som meddelas eller framställs inom ramen för detta avtal är Myndighetens egendom, om inget annat har avtalats. Då ett uppdrag inom ramen för
detta avtal fullgjorts, eller vid den tidpunkt som Myndigheten föreskriver i gällande Industrisäkerhetsskyddsmanual (ISM), skall säkerhetsskyddsklassificerad uppgift destrueras eller återlämnas till Myndigheten.
Om säkerhetsskyddsklassificerade uppgifter uppkommer under arbetet vid Företaget, ska Företaget vidta de säkerhetsskyddsåtgärder som är nödvändiga. Företaget ska utan dröjsmål meddela Myndigheten om säkerhetsskyddsklassificerade uppgifter har uppkommit samt vilka säkerhetsskyddsåtgärder som har vidtagits.
Säkerhetsskyddsklassificerade uppgifter får endast hanteras i IT-system som har godkänts för sådan hantering av Myndigheten.
§ 9. Offentliggörande av företagets affärs- och driftförhållanden
Företaget bör klargöra för Myndigheten i vilken utsträckning uppgifter avseende affärs- eller driftsförhållanden som överlämnas till Myndigheten kan omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), samt varför Företaget kan komma att lida skada om dessa röjs.
Företaget är dock medvetet om att Myndigheten ändå kan vara skyldig att lämna ut sådana uppgifter. Myndigheten är inte skyldig att inhämta Företagets tillstånd för sådan utlämning.
§ 10. Offentliggörande av myndighetens information
Företaget får inte utan Myndighetens tillstånd lämna ut uppgifter till massmedia som rör uppdrag åt myndigheten och som enligt Myndigheten innehåller uppgift som omfattas av tystnadsplikt enligt offentlighets- och sekretesslagen (2009:400). Detsamma gäller för all slags publicering oavsett medium samt vid alla slags arrangemang dit personer som inte är behöriga (§ 6 i detta avtal) har tillträde.
Företaget får inte utan Myndighetens tillstånd offentliggöra att det träffat ett säkerhetsskyddsavtal.
§ 11. Fysisk säkerhet
Myndighetens bestämmelser om tillträdesbegränsning gäller för Företagets personal som ska delta i arbetet. Företaget får inte utan Myndighetens godkännande byta eller använda andra lokaler, områden eller motsvarande för arbetets genomförande. Endast behöriga personer får ha tillträde till de lokaler, områden eller motsvarande där arbetet genomförs.
§ 12. Personalsäkerhet
Innan Myndigheten tecknar säkerhetsskyddsavtal med ett Företag skall Myndigheten pröva ledningens lojalitet och pålitlighet ur säkerhetssynpunkt.
Innan en person får del av säkerhetsskyddsklassificerad uppgift eller deltar i säkerhetskänslig verksamhet skall Företaget genom säkerhetsprövning pröva vederbörandes lojalitet och pålitlighet ur säkerhetssynpunkt. Säkerhetsprövningen skall omfatta varje person som deltar i säkerhetskänslig verksamhet eller får del av säkerhetsskyddsklassificerad uppgift, oavsett om vederbörande blir föremål för registerkontroll enligt säkerhetsskyddslagen (2018:585) eller inte.
Säkerhetsprövningen skall omfatta en utredning om personliga förhållanden och inhämtande av betyg, intyg och referenser, samt andra uppgifter i den utsträckning det är relevant för prövningen. Är befattningen placerad i säkerhetsklass skall säkerhetsprövningen även omfatta registerkontroll och i vissa fall särskild personutredning. Säkerhetsprövningen skall dokumenteras av Företaget och kopia bifogas då framställan om registerkontroll lämnas till Myndigheten.
Innan framställan om registerkontroll lämnas till Myndigheten skall Företaget särskilt informera den person som skall bli föremål för registerkontroll om vad kontrollen innebär. Företaget skall i samband med detta också inhämta personens samtycke till kontrollen. Samtycket skall dokumenteras och förvaras på Företaget. Företaget skall till Myndigheten anmäla omständigheter som kan vara av betydelse för bedömningen av en säkerhetsprövad persons lämplighet och pålitlighet.
Tillsammans med uppgifter som har framkommit vid registerkontroll och särskild personutredning utgör säkerhetsprövningen underlag för Myndighetens beslut om att personen får anlitas.
Företaget får inte anlita personen innan Företaget har fått del av Myndighetens beslut. I det fall personen inte godkänns av Myndigheten, behöver ej Myndigheten meddela Företaget skälen för sitt beslut.
Företaget skall utan dröjsmål anmäla till Myndigheten om en registerkontrollerad person på Företaget ej längre skall anlitas. Myndigheten skall utan dröjsmål anmäla till Säkerhetspolisen att personen ej längre skall vara placerad i säkerhetsklass.
Om en person som har säkerhetsprövats och som anlitas inom ramen för detta säkerhetsskyddsavtal befinns olämplig ur säkerhetssynpunkt, skall Företaget vidta de åtgärder som är lämpliga för att vederbörande inte skall kunna delta i säkerhetskänslig verksamhet eller få tillgång till säkerhetsskyddsklassificerad uppgift eller tillträde till lokaler, områden eller motsvarande där säkerhetskänslig verksamhet bedrivs.
§ 13. Utbildning och egenkontroll
Företaget skall, innan säkerhetskänslig verksamhet startar eller arbete med säkerhetsskyddsklassificerad uppgift inleds, genomgå av Myndigheten anordnad utbildning i säkerhetsskyddsfrågor. Utbildningen ges i första hand till säkerhetsskyddschef.
Därefter ansvarar Företaget för all intern utbildning i säkerhetsskydd, såväl grundläggande som fortlöpande. Utbildningen skall bland annat omfatta:
Aktuell hotbild samt övriga risker från säkerhetssynpunkt
Företagets säkerhetsskyddsåtgärder
Företagets säkerhetsskyddsinstruktion samt övrig relevant säkerhetsdokumentation
Företaget skall upprätta en kontrollplan över den egenkontroll av säkerhetsskyddsverksamheten som skall utföras årligen.
Företaget skall därutöver fortlöpande kontrollera att endast behöriga personer som har godkänts av Myndigheten anlitas och att säkerhetsskyddskraven uppfylls.
Företaget skall omedelbart underrätta Myndigheten om inträffade eller befarade händelser och omständigheter som kan påverka säkerhetsskyddet och de personer som omfattas av detta avtal.
§ 14. Kontroll
Myndigheten har rätt att kontrollera Företagets säkerhetsskyddsverksamhet. Vid en sådan kontroll kan Säkerhetspolisen och/eller Försvarsmakten eller annan myndighet medverka. Kontroll kan ske oannonserat eller efter särskild överenskommelse. Kontroll enligt särskild överenskommelse sker under Företagets ordinarie kontorstid och skall aktivt underlättas av Företaget.
§ 15. Kostnader
Kostnader med anledning av detta säkerhetsskyddsavtal skall bäras av Företaget. Någon särskild ersättning för säkerhetsskydd utgår inte såvida inte Myndigheten ställer krav på säkerhetsskyddsåtgärder utöver vad som regleras i detta avtals § 1 (krav på utökat skydd).
§ 16. Tystnadsplikt och sekretessförbindelse
Uppgifter avseende säkerhetsskyddsintressen enligt § 2 i detta avtal och som har tillförts eller uppkommit inom ramen för detta avtal skall omfattas av tystnadsplikt. Tystnadsplikt gäller även efter att avtalet upphört, dock som längst enligt vad som framgår av offentlighets- och sekretesslagen (2009:400).
Företaget skall informera berörd personal om innebörden av tystnadsplikten och se till att personalen undertecknar sekretessförbindelse. Denna skall förvaras vid Företaget.
§ 17. Rapportering
Företaget skall utan dröjsmål anmäla till Myndigheten när någon förändring sker beträffande firma, organisationsnummer, styrelse, verkställande direktör, revisor, post- och besöksadress eller telefonnummer. Avser ändringen firma, organisationsnummer, styrelse, verkställande direktör eller revisor skall ett nytt registreringsbevis bifogas anmälan. En anmälan skall också göras om ägarförhållandena ändras, om Företaget råkar i ekonomiska svårigheter eller försätts i konkurs.
§ 18. Informationsplikt
Företaget skall, även utöver det särskilda informationsansvar som uttrycks ovan, underrätta Myndigheten om sådant som kan påverka säkerhetsskyddet enligt detta avtal.
Myndigheten äger rätt att vid behov kalla företrädare för Företaget till Myndigheten för redovisning av hur företaget upprätthåller säkerhetsskyddskraven enligt detta avtal.
I fråga om koncerner äger Myndighetens ledning rätt att kalla Moderbolagets ledning till Myndigheten för redovisning av hur koncernen upprätthåller säkerhetsskyddskraven enligt detta avtal.
§ 19. Avtalsperiod
Detta säkerhetsskyddsavtal träder i kraft vid undertecknandet och gäller tills vidare eller till dess det skriftligen sägs upp av endera parten. Avtalet kan dock inte ensidigt sägas upp till en tidigare tidpunkt än den dag då den verksamhet som omfattas av detta avtal har slutförts och då uppgift avseende säkerhetsskyddsintressen enligt § 2 i detta avtal har destruerats eller återlämnats till Myndigheten. Myndigheten kan dock häva detta avtal med omedelbar verkan om Företaget frångår detta avtal.
§ 20. Underskrifter
Detta avtal har upprättats i två likalydande exemplar varav parterna har tagit var sitt. Stockholm
FÖRSVARETS MATERIELVERK
Bemyndigad avtalstecknare VD eller firmatecknare
Namnförtydligande Namnförtydligande