Kommunalförbundet Räddningstjänsten Östra Blekinge ska betala en sanktionsavgift på 3,5 Mkr för att dels ingått samarbete med en annan räddningstjänst utan att ha ett säkerhetsskyddsavtal dels inte haft tillräckliga säkerhetsskyddsåtgärder för ett informationssystem som hanterar säkerhetskänsliga uppgifter. Beslutet har överklagats.
Räddningstjänsten Östra Blekinge (Räddningstjänsten) är ett kommunalförbund mellan Karlskrona och Ronneby kommuner för brandförsvar.
Den 3 januari 2024 förelade Länsstyrelsen Skåne (Länsstyrelsen) Räddningstjänsten att inkomma med verksamhetens säkerhetsskyddsanalys. Säkerhetsskyddsanalysen skickades till Länsstyrelsen den 19 februari. Därefter genomfördes tillsynsbesök hos Räddningstjänsten den 18 juni 2024 och ytterligare dokumentation överlämnades till Länsstyrelsen vid det tillfället. Efter vissa kompletteringar höll Länsstyrelsen ett vägledande samtal med Räddningstjänsten den 26 november 2024. Fem månader senare kommer nu Länsstyrelsen med sitt beslut. Beslutet finns i sin helhet längst ned på sidan.
Av säkerhetsskyddsanalysen, tillsynsbesöket och kompletterande information framgick att Räddningstjänsten inte ingått säkerhetsskyddsavtal med motpart. Den part som Räddningstjänsten inte tecknat säkerhetsskyddsavtal med var en annan räddningstjänst om samarbete med en gemensam funktion. Det var Räddningstjänsten själva som uppgav att säkerhetsskyddsavtal inte ingåtts med den andra räddningstjänsten.
Räddningstjänsten inkom då omgående med avsiktsförklaring om att teckna säkerhetsskyddsavtal samt upprättade en särskild säkerhetsskyddsbedömning med påföljande lämplighetsprövning. Lämplighetsprövningen resulterade i att avsiktsanmälan drogs tillbaka eftersom säkerhetsskyddskraven hos den andra räddningstjänsten inte ansågs vara uppfyllda.
I och med detta anser Länsstyrelsen att det funnits sårbarheter för att säkerhetsskyddsklassificerade uppgifter felaktigt delgivits och röjts för obehöriga.
Räddningstjänsten har samlad information i ett informationssystem som redovisats som ett skyddsvärde i säkerhetsskyddsanalysen. Uppgifterna utgörs bland annat av en mycket stor mängd information om personal, förmågor, resurser och organisation (såsom deltidsorganisation, och personal som ingår i räddningsvärn hos Räddningstjänsten). Räddningstjänsten har bedömt att de samlade och aggregerade uppgifterna är säkerhetsskyddsklassificerade. Informationssystemet är inte avsett att hantera sådana säkerhetsskyddsklassificerade uppgifter.
Länsstyrelsen håller med om Räddningstjänstens bedömning att uppgifterna aggregerat och ackumulerat ska vara säkerhetsskyddsklassificerade och anser därför att hanteringen av de samlade uppgifterna i det icke godkända informationssystemet är felaktig.
Länsstyrelsen lyfter därtill obiter dicta (latin för “vid sidan om saken”) de senaste årens it-incidenter där informationsmängder blivit utsatta för olika typer av cyberattacker såsom ransomware och att informationen därmed (sic) otillgängliggjorts vilket skulle kunna få konsekvenser för möjligheten att bedriva räddningstjänst samt att det är svårt att med säkerhet utesluta att information extraherats (kopierats) ut ur informationssystemen. Något som enligt Länsstyrelsen visar på de skadekonsekvenser som kan uppstå vid bristande informationssäkerhet.
Länsstyrelsen anser att underlåtenheten att ingå säkerhetsskyddsavtal är en överträdelse som är grovt oaktsam eftersom Räddningstjänsten känt till kravet vilket framgår av Räddningstjänstens säkerhetsskyddsanalys. Beträffande överträdelsen avseende hanteringen av säkerhetsskyddsklassificerade uppgifter anser Länsstyrelsen även att överträdelsen är grov, eftersom Räddningstjänsten inte gjort något för att stoppa överträdelsen efter konstaterad felaktig hantering. Underlåtelse att förebygga skadlig inverkan på de aktuella säkerhetsskyddsklassificerade uppgifterna har orsakat sårbarheter för skada på Sveriges säkerhet.
Sanktionsavgiften för en statlig myndighet, kommun eller region får högst bestämmas till 10 miljoner kronor. Länsstyrelsen anser att sårbarheterna har inneburit risk för allvarlig skada för Sveriges säkerhet i det första fallet och risk för skada för Sveriges säkerhet i det andra fallet. Länsstyrelsen beaktar att Räddningstjänsten verkar i ett för Sverige strategiskt viktigt geografiskt område där andra aktörer som också är strategiskt viktiga för Sveriges säkerhet verkar.
Det som varit förmildrande är att Räddningstjänsten omgående inkom med anmälan om avsikt att teckna säkerhetsskyddsavtal och att Räddningstjänsten varit uppriktig och tillmötesgående samt aktivt medverkat till att rätta till de andra delar där Länsstyrelsen haft synpunkter. Efter en sammantagen bedömning baserat på allvarligheten, tiden som överträdelserna pågått övriga omständigheter anser Länsstyrelsen att en sanktionsavgift på 3,5 miljoner kronor är proportionerlig, och samtidigt effektiv och avskräckande.
Länsstyrelsen har skrivit ett mycket utförligt beslut som innehåller mycket resonemang kring hur myndigheten resonerat i ärendet. Det är mycket bra och vi kan få en bra bild av vad som i detta fall gått snett och vad verksamhetsutövare bör tänka på i säkerhetsskyddsarbetet. Samtidigt är kan det vara riskabelt med utförliga motiveringar eftersom om de lättare kan angripas. Länsstyrelsen har fokuserat på två överträdelser men det är samtidigt oklart vilken specifik bestämmelse som Räddningstjänsten överträtt.
I sin redovisning av beslutet räknar Länsstyrelsen upp inte mindre än 45-46 bestämmelser i säkerhetsskyddslagen, säkerhetsskyddsförordningen och säkerhetspolisens föreskrifter om säkerhetsskydd som beslutet grundar sig på. Det gör att det naturligtvis blir svårt att avgöra exakt vilka bestämmelser som Räddningstjänsten har överträtt även om den som har god kännedom om säkerhetsskyddsregelverket inser att det handlar om 4 kap. 1 § säkerhetsskyddslagen (om skyldigheten att ingå ett säkerhetsskyddsavtal) för den första överträdelsen.
Den andra överträdelsen blir dock lite mer lurig att veta exakt vilken bestämmelse som Räddningstjänsten överträtt. Baserat på hur Länsstyrelsen resonerat i beslutet (skada för Sveriges säkerhet) torde den aggregerade och ackumulerade uppgiftssamlingen klassificerats som konfidentiell. Hade klassificeringen varit lägre skulle det inneburit ringa skada för Sveriges säkerhet och hade den varit högre skulle det innebära allvarlig skada.
Bestämmelserna i säkerhetsskyddslagen om informationssäkerhet handlar dels om målet med informationssäkerhet och att säkerhetsskyddsklassificerade uppgifter ska delas in i klasser. Detta verkar Räddningstjänsten uppfylla. Tittar vi sedan på de bestämmelser i säkerhetsskyddsförordningen som Länsstyrelsen hänvisar till (3 kap. 1-3 §§ så handlar det om förebyggande åtgärder innan driftsättning av informationssystem. Många informationssystem har driftsatts innan lagstiftningen ens trätt i kraft varför det för många inte ens är möjligt att följa dessa krav. Jag vet inte hur det är med Räddningstjänstens informationssystem i detta fall men baserat på Länsstyrelsens resonemang verkar det inte vara detta som varit problemet utan snarare att uppgifterna hanterats i ett system som inte är avsett för säkerhetsskyddsklassificerade uppgifter. Då torde väl snarare 3 kap. 4-5 §§ säkerhetsskyddsförordningen vara de bestämmelser som bör tillämpas men dessa har inte Länsstyrelsen tillämpat. Den bestämmelse som ligger närmast att tillämpa för Räddningstjänstens andra överträdelse torde dock vara 3 kap 1 § i säkerhetspolisens föreskrifter, dvs. “Säkerhetsskyddsklassificerade uppgifter i en viss säkerhetsskyddsklass får behandlas endast i informationssystem eller på lagringsmedium som verksamhetsutövaren godkänt för lägst den säkerhetsskyddsklass som uppgifterna har.”
Men kan verksamhetsutövare verkligen bli skyldiga att betala sanktionsavgift för överträdelse av dessa regler?
Av 7 kap. 1 § 1 p a) säkerhetsskyddslagen framgår att Länsstyrelsen får besluta att ta ut en sanktionsavgift av en verksamhetsutövare som har åsidosatt sina skyldigheter enligt någon av 2 kap. 1 § första eller andra stycket, 5 §, 6 § första stycket eller 7 § eller föreskrifter som har meddelats i anslutning till de bestämmelserna, och av
7 kap. 1 § 1 p c) säkerhetsskyddslagen framgår att Länsstyrelsen får besluta att ta ut en sanktionsavgift av en verksamhetsutövare som har åsidosatt sina skyldigheter enligt någon av 4 kap. 1 eller 3 §, 9 § första stycket eller 15 § första stycket eller föreskrifter som har meddelats i anslutning till de bestämmelserna.
Klart är att överträdelsen beträffande säkerhetsskyddsavtalet är sanktionsgrundande enligt kravet i 4 kap. 1 § säkerhetsskyddslagen. Men den som läser noggrant kan notera att det inte finns något mandat att meddela sanktionsavgifter för överträdelser avseende säkerhetsskyddsåtgärder enligt 2 kap. 2-4 §§ säkerhetsskyddslagen och föreskrifter som är meddelade med stöd av detta. Klart är att Säkerhetspolisen får meddela föreskrifter om säkerhetsskyddsåtgärder vilket framgår av 2 kap. 8 § säkerhetsskyddslagen och 8 kap 6 § säkerhetsskyddsförordningen. Men att utdöma sanktionsavgifter för överträdelser av dessa regler saknar idag stöd i lag.
Det finns således en risk att Länsstyrelsen meddelat sanktionsavgift för en överträdelse som myndigheten inte har mandat att meddela sanktionsavgift för.
En av de största utmaningarna inom säkerhetsskyddsarbetet är att bedöma säkerhetsskyddsklassificering för en samling uppgifter där uppgifterna var för sig inte skulle anses vara säkerhetskänsliga. Här finns anledning för såväl verksamhetsutövare som tillsynsmyndigheter att visa restriktivitet och försiktighet med bedömningarna eftersom det kan bli utmanande att plötsligt behöva hantera uppgifterna på ett annat sätt än vad verksamhetsutövaren ursprungligen planerat. Det är svårt att avgöra exakt var gränsen går när samlingen blir säkerhetskänslig. Vi har sett flera domstolsavgöranden där myndigheter och domstolar vägrat lämna ut samlingar med uppgifter om personal för att de anses omfattas av sekretess enligt 15 kap. 2 § Offentlighets- och sekretesslagen. Samtidigt kanske myndigheterna inte varit medvetna om vilka krav ur ett säkerhetsskyddsperspektiv som det ställer på de informationssystem som hanterar dessa informationsmängder. Klart är i varje fall att lagstiftaren i förarbetena öppnat upp för ett sådant synsätt, jfr Prop. 2017/18:89 s. 45 “Hur stor mängd uppgifter som ska anses utgöra sådan skyddsvärd verksamhet måste avgöras från fall till fall mot bakgrund av bl.a. vilken typ av uppgifter och verksamhet det är fråga om och vilken konsekvens det skulle kunna innebära om ansamlingen gjordes tillgänglig för utomstående.” Tyvärr inte mycket till vägledning för verksamhetsutövare.
I detta fall rör det sig uppenbarligen om “en mycket stor mängd information om personal, förmågor, resurser och organisation (såsom deltidsorganisation, och personal som ingår i räddningsvärn hos Räddningstjänsten)”. Huruvida röjande av dessa uppgifter skulle orsaka skada för Sveriges säkerhet som inte är ringa ställer jag mig tveksam till. Utan att vara insatt i säkerhetsskyddsanalysen och andra avgörande omständigheter undrar jag om Sverige som land ändå skulle kunna klara sig utan Räddningstjänsten Östra Blekinge genom exempelvis resurser i andra delar av landet utnyttjas. Visst, det skulle kanske bli lite besvärligare och omständligare och vissa skador skulle bli värre, men skulle verkligen Sverige skadas så allvarligt? När det gäller andra säkerhetskänsliga verksamheters beroende av Räddningstjänsten bör dessa verksamhetsutövare naturligtvis bedöma verksamhetens beroenden och sårbarheter och beroende på kritikalitet bedöma om de själva behöver ha förmåga att hantera bränder och nödvändigt räddningsarbete.
Hade Räddningstjänsten bedömt att de samlade uppgifterna inte var säkerhetskänsliga hade det nog varit tveksamt om de överhuvudtaget hade drabbats av sanktionsavgift med anledning av detta, (även om det är tveksamt att Länsstyrelsen haft mandat att meddela sanktionsavgift pga överträdelsen, se resonemang ovan). Jag undrar om det inte hade varit bättre om Länsstyrelsen indikerat att de inte bedömt samlingen som säkerhetskänslig för att sedan vägleda Räddningstjänsten i frågan.
Länsstyrelsen dundrar på rätt hårt mot Räddningstjänsten och påtalar Räddningstjänstens grova oaktsamhet – trots att Räddningstjänsten varit ärliga, tillmötesgående och uppenbarligen försökt göra rätt – särskilt efter Länsstyrelsens påpekande. Visst, att inte teckna säkerhetsskyddsavtal och följa de administrativa kraven kring detta är uppenbart ett brott mot regelverket, men jag undrar inte om den sanktionsavgift som nu ska betalas in till staten av Räddningstjänsten inte kommit till bättre nytta för att förstärka och förbättra Räddningstjänstens säkerhetsskyddsarbete. Vore det inte bättre att istället för sanktionsavgift få ett föreläggande om att förbättra säkerhetsskyddsarbetet? Det skulle tvinga verksamheten att allokera resurserna för att bygga upp säkerheten. Nu får verksamheten istället mindre pengar att röra sig med vilket inte bäddar för ett proaktivt säkerhetsskyddsarbete. I förarbetena till den aktuella bestämmelsen om sanktionsavgifterna påtalade lagstiftaren bland annat att verksamhetsutövare många gånger behöver kontakta tillsynsmyndigheten i olika frågor som rör säkerhetsskyddet och obligatorisk sanktionsavgift främjar inte ett sådant utbyte och att incitamenten att följa förelägganden kan bli svagare än om det finns utrymme för att i vissa fall endast ingripa med ett föreläggande. I många mindre allvarliga fall kan det också antas vara lämpligare att föra en dialog med verksamhetsutövaren eller att ingripa med ett åtgärdsföreläggande än att besluta sanktionsavgift, (prop 2020/21:194 s. 100 f).
Länsstyrelsen talar om att sanktionen ska vara avskräckande. Jag undrar vem som ska avskräckas av sanktionen? Är det Räddningstjänsten, andra räddningstjänster eller andra verksamhetsutövare? För att andra ska avskräckas måste naturligtvis det bli känt vad som hänt, varför det har hänt och vad man kan göra för att inte drabbas. Här tycker jag Länsstyrelsen har ett förbättringsarbete framför sig.
Säkerhetsskyddsregelverket är komplicerat och trots att det är förhållandevis ungt har det varit föremål för en mängd förändringar och tillägg under den tid som det varit gällande. Det är uppenbart att många verksamhetsutövare har svårt att göra rätt och när till och med tillsynsmyndigheterna har svårigheter med att tillämpa regelverket korrekt så bygger det inte direkt förtroende hos de verksamhetsutövare som riskerar att betala sanktionsavgifter för att ha orsakat sårbarheter – oavsett om skada uppstått eller inte. Inte ens Regeringskansliet har visat sig kunna tillämpa reglerna på ett tillfredsställande sätt. Att då kräva 3,5 miljoner kronor från Räddningstjänsten i Östra Blekinge kan jag tycka vara magstarkt (Räddningstjänsten hade en balansomslutning på cirka 167 Mkr 2024, sanktionsavgiften motsvarar således cirka 2 % av Räddningstjänstens balansomslutning vilket kan sägas motsvara maxbeloppet enligt förslaget i slutbetänkandet av Utredningen om genomförande av NIS2- och CER-direktiven, SOU 2024:64 – som ännu inte genomförts). Man kan fråga sig varför vissa offentliga verksamheter ska drabbas motsvarande max-straffet om de hade varit en privat aktör jämfört med en skärpning som ännu inte beslutats. Någonting har i detta fall gått snett i rättsskipningen.
Vi har alla en viktig uppgift att bidra till Sveriges säkerhet och då måste det vara lätt att göra rätt, administrativa krav som inte bidrar till ökad säkerhet måste tas bort och de statliga myndigheterna som ska vara experter på Sveriges säkerhet bör hjälpa snarare än stjälpa verksamheterna som bär på uppgifter eller bedriver verksamhet som är av betydelse för Sveriges säkerhet. Självklart behövs kännbara sanktioner för uppenbar, upprepad och ohörsamhet och bristande respekt för de skyddsvärden som är avgörande för Sveriges säkerhet men de bör användas med försiktighet och när andra alternativ har uttömts. Nu har Räddningstjänsten överklagat beslutet till Förvaltningsrätten i Stockholm och med största sannolikhet kommer sanktionsavgiften att sättas ned, särskilt med tanke på att en del av sanktionsavgiften baseras på en överträdelse som inte Länsstyrelsen har mandat att sanktionera.
Beslut om sanktionsavgift Lst Skåne Kommunalförbundet Räddningstjänsten Östra Blekinge 3 500 000 kr
Andreas Dahlqvist
