Det är viktigt att säkerhetsprövningar görs i förhållande till rätt kontrollorsak. Den 10 september 2025 meddelade Kammarrätten i Stockholm (Kammarrätten) en dom om 15 miljoner kronor i sanktionsavgift för att inte själv genomfört en säkerhetsprövning av sin signalskyddschef och signalskyddspersonal. Att den aktuella personalen kontrollerats mot kundernas säkerhetsskyddsavtal spelar ingen roll eftersom säkerhetsprövningen då gjorts mot fel kontrollorsak.
Bakgrund
Företaget hade blivit tilldelat ett signalsskyddssystem och har en signalskyddsorganisation och hade enligt egen utsago följt Försvarsmaktens föreskrifter om signalskyddstjänsten och angett att signalskyddspersonal placerats i säkerhetsklass 3. Företaget var också av uppfattningen att den enda anledningen till att de hade signalsskyddssystem var för kommunikation med kunderna och att det behövdes till följd av avtal med kunderna. Företaget ansåg också att tillsynsmyndigheten inte var behörig eftersom det rörde sig om signalskyddsmateriel och därför skulle falla under en annan tillsynsmyndighets tillsynsansvar.
Tillsynsmyndigheten ansåg dock att den som blivit tilldelad signalsskyddssystem bedriver självständigt säkerhetskänslig verksamhet och eftersom chef och personal inte blivit säkerhetsprövade för verksamhetens egen säkerhetskänsliga verksamhet var kontrollorsaken av företagets personal ofullständig. Tillsynsmyndigheten beslutade om en tillsynsavgift på 15 miljoner kronor. Företaget överklagade och i Förvaltningsrätten sänktes sanktionsavgiften till 10 miljoner kronor.
Kammarrätten
Kammarrätten förklarar att företaget i fråga är verksam inom fältet elektroniska kommunikationer och signalskydd kan enligt kammarrätten vara ett medel för att uppnå syftet säkra elektroniska kommunikationer i lagen om elektronisk kommunikation och kan därmed omfattas av området elektronisk kommunikation. Företaget har tilldelats signalsskyddsutrustning och är en verksamhetsutövare inom området elektronisk kommunikation och därför är tillsynsmyndigheten behörig att meddela sanktionsavgift.
Företaget i fråga har haft signalskyddssystem sedan 2012 och har en signalskyddsorganisation. Företaget förfogar över signalskyddsnycklar och signalskyddspersonal. Av 7 § Försvarsmaktens föreskrifter om signalskyddstjänsten framgår att signalsskyddssystem är av betydelse för Sveriges säkerhet. Signalskyddstjänsten ingår därför i företagets säkerhetskänsliga verksamhet.
Personal som deltar i säkerhetskänslig verksamhet ska säkerhetsprövas och det är verksamhetsutövaren som ansvarar för prövningen. Företaget har gjort en grundutredning med utgångspunkt i de krav som kunder ställt i samband med säkerhetsskyddsavtal. Även registerkontrollerna har gjorts med denna utgångspunkt. Kontrollorsaken har således varit en annan än signalskyddspersonal hos företaget. Slutsatsen blir att den aktuella personalen inte varit behörig att delta i företagets verksamhet och företaget har därför åsidosatt sina skyldigheter enligt säkerhetsskyddslagen. Sanktionsavgift kan därför dömas ut.
Inte faktiskt skada men sårbarhet har uppstått. Överträdelsen har pågått i cirka 12 månader vilket anses vara en lång period. Att prövas mot fel kontrollorsak är en brist ur säkerhetssynpunkt och det anses försvårande att bristen även omfattar företagets signalskyddschef. Eftersom säkerhetsskyddet inom sektorn för elektroniska kommunikationstjänster är av central betydelse för Sveriges säkerhet och företaget är en av dee största aktörerna inom sektorn och levererar tjänster i hela landet talar för att överträdelsen är allvarlig. Kammarrätten anser med hänsyn till det som kommit fram att överträdelsen är så allvarlig att den motiverar en högre sanktionsavgift än den som förvaltningsrätten beslutade. Sanktionsavgiften bestäms därför till 15 miljoner kronor.
Domen har ännu inte vunnit laga kraft.
Några betraktelser
Tillsynsmyndighetens behörighet
Kammarrättens resonemang rörande behörigheten för tillsynsmyndigheten är intressant. Företaget hade försökt påpeka att signalsskyddssystem är Försvarsmateriel och därmed faller under Försvarets materielverks tillsynsansvar. Det är lätt att få den uppfattningen eftersom tilldelningen av signalsskyddssystem sker av Myndigheten för samhällsskydd och beredskap (som efter årsskiftet blir Myndigheten för civilt försvar) och regleras av föreskrifter från Försvarsmakten. Men som vi får tolka Kammarrätten ska signalsskyddssystem inte anses vara försvarsmateriel utan höra till området elektroniska kommunikationer. Betyder det att Post- och telestyrelsen ska anses vara ensam tillsynsmyndighet för detta och därmed ska bedriva tillsyn över alla aktörer som tilldelats signalsskyddssystem. Jag tror inte att Försvarsmakten och en del andra myndigheter skulle hålla med och acceptera en sådan ordning. Men om man som verksamhetsutövare nu inte bedriver verksamhet inom sektorn elektronisk kommunikation och har en signalsskyddssystem – vem ska då tillsyna verksamheten i de delar som det rör signalskyddet? Det enda rimliga är att anse att signalsskyddssystem – oavsett verksamhet – måste höra till verksamheten och verksamhetens behov av säkra kommunikationer. Det kan inte vara så att en verksamhetsutövare automatiskt blir verksam inom sektorn elektronisk kommunikation enbart för att man har blivit tilldelad ett signalsskyddssystem. Jfr den överklagade domen mot Pajala kommun som ansågs bedriva säkerhetskänslig verksamhet pga att de tilldelats ett signalskyddssystem, Förvaltningsrätten i Stockholms dom den 28 maj 2024, SM6-23.
Innehavare av signalskyddssystem
Det är uppenbart att den som tilldelas ett signalsskyddssystem bedriver säkerhetskänslig verksamhet. Det är något som inte kan missförstås, jfr. Försvarsmaktens föreskrifter och det är uppenbart för alla som hanterat sådana system att de är klassade. Jag har svårt att se att tilldelningen sker med stöd av ett säkerhetsskyddsavtal oavsett om en kund ställer det som krav. Tilldelningsbeslutet måste i sådant fall hänvisa till det aktuella säkerhetsskyddsavtalet som måste vara ett nivå 1-avtal vilket jag har svårt att se skett i detta fall.
Rätt kontrollorsak
Såsom säkerhetsprövningarna idag fungerar är det otroligt viktigt att ha rätt kontrollorsak. Den kontroll som idag görs är väldigt snäv och det är viktigt att kontrollorsaken formuleras på ett smart sätt så att den verkligen täcker allt som personalen kan tänkas arbeta med rörande säkerhetsskyddet. Det är också viktigt att skilja mellan sin egen verksamhet och den verksamhet där kunder eller andra samarbetspartner ansvarar för säkerhetsskyddet.
Författare: Andreas Dahlqvist, Chefsjurist och Säkerhetsskyddschef på Certezza