Säkerhetsskyddsarbetet måste bedrivas med kvalité annars kan det leda till höga sanktionsavgifter

Ett statligt ägt privat bolag har dömts till en sanktionsavgift på 11 Mkr och en kommun har dömts till en sanktionsavgift på 1 Mkr i två mål som nyligen avgjorts av Förvaltningsrätten i Stockholm (Förvaltningsrätten). Det handlar dels om brister i anmälningsskyldigheten och dels om brister i säkerhetsskyddsanalyserna såväl i framtagandet som i kvalitén på säkerhetsskyddsanalysen. En säkerhetsskyddsanalys av dålig kvalité kan alltså vara sanktionsgrundande till dess den uppdateras. (Förvaltningsrättens domar SM 21-24 och SM 24-24).

Bakgrund 

Bolaget

Bolaget hade fastställt en säkerhetsskyddsanalys i oktober 2021. Det vill säga innan reglerna i säkerhetsskyddslagen ändrades så att det blev sanktionsgrundande att inte ha en säkerhetsskyddsanalys, i december 2021. I februari 2024 uppdaterades bolagets säkerhetsskyddsanalys. Bolaget dröjde också drygt 10 månader med att anmäla säkerhetskänslig verksamhet till tillsynsmyndigheten. Bolaget uppgav att det trodde att det skulle räcka med att koncernmodern anmälde sin verksamhet, vilket var anledningen till att det dröjde så länge med anmälan. 

Kommunen

Även kommunen missade att anmäla sin verksamhet. Kommunen tyckte att det inte skulle behövas någon särskild anmälan eftersom länsstyrelsen i januari 2020 hade godkänt att kommunen skulle ta emot ett signalsskyddssystem och därför borde verksamheten vara godkänd, anmäld och känd. Det var först ungefär två år efter att anmälningsplikten började gälla som kommunen anmälde verksamheten till tillsynsmyndigheten. Kommunen hade en säkerhetsskyddsanalys från den 2 januari 2020 men den var bristfällig, rörde endast en avgränsad del av verksamheten, var otydlig och inte fastställd av kommunens högsta chef. En uppdaterad säkerhetsskyddsanalys fastställdes först den 23 september 2024. Men även denna säkerhetsskyddsanalys har ifrågasatts om den fullt ut uppfyller lagens krav i ett nytt föreläggande från tillsynsmyndigheten.

Domstolen

Brister i säkerhetsskyddet

Sanktionsavgifter får endast beslutas för överträdelser som skett efter den 1 december 2021. Förvaltningsrätten konstaterar att överträdelser av säkerhetsskyddslagstiftningen många gånger är perdurerande. Det innebär att en överträdelse inte endast sker vid den tidpunkt då den ursprungligen uppstår eller en skyldighet enligt lagstiftningen åsidosätts första gången, exempelvis då en säkerhetsskyddsanalys fastställs. Överträdelsen bör kunna betraktas som pågående fram till dess att den har upphört. 

Beträffande anmälningsplikten ska den ske utan dröjsmål efter det att den säkerhetskänsliga verksamheten påbörjas. För de som bedrivit säkerhetskänslig verksamhet innan den 1 december 2021 innebär det att anmälan ska ske utan dröjsmål efter det datumet. Det är varje juridisk person som bedriver säkerhetskänslig verksamhet som har en egen skyldighet att tillgodose kraven på säkerhetsskydd – det går således inte att förlita sig på en anmälan gjord av ett moderbolag. Det går inte heller att jämställa ett godkännande att inneha signalsskyddsutrustning med en sådan anmälan enligt säkerhetsskyddslagen. 

Både bolaget och kommunen hade säkerhetsskyddsanalyser men domstolen konstaterar att de aktuella säkerhetsskyddsanalyserna inte uppfyller kraven i säkerhetspolisens föreskrifter och därför inte är godtagbar oaktat att det funnits en säkerhetsskyddsanalys i organisationerna. 

Förvaltningsrätten anser att det utan en fullgod analys inte går att planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga relevanta omständigheter.

Överträdelserna bedömdes som allvarliga.

Sanktionsavgifterna

Skadan/sårbarheten

Inte i något av ärendena fanns någon omständighet som tydde på att någon faktisk skada för Sveriges säkerhet uppstått baserat på överträdelserna och hade inte heller gjorts gällande av tillsynsmyndigheterna. 

I fallet med bolaget ansåg Förvaltningsrätten att det uppstått en allvarlig sårbarhet, bland annat med beaktande av bolagets betydelse för Sveriges säkerhet och den nivå av säkerhetsskyddsklassificerade uppgifter som uppmärksammats redan i analysen från 2021. 

I kommunärendet ansåg Förvaltningsrätten att det uppstått en sårbarhet genom överträdelserna, att det enligt kommunen endast kan uppstå ringa skada för Sveriges säkerhet utifrån den information som kommunen hanterar ändrar inte bedömningen att sårbarheten skulle kunna vara allvarlig.

Oaktsamheten

I fallet med bolaget ansåg Förvaltningsrätten att dröjsmålet med anmälan och bristerna i säkerhetsskyddsanalysarbetet inte kunde bero på något annat än oaktsamhet

Kommunens oskälig dröjsmål kunde – enligt Förvaltningsrätten – inte anses bero på något annat än allvarlig oaktsamhet även om det i grunden berott på ett missförstånd. Kommunens föreföll inte aktivt och skyndsamt vidtagit åtgärder för att få överträdelserna att upphöra och är därför enligt Förvaltningsrätten att bedöma som grovt aktsamt även i denna del. 

Beloppet

Förvaltningsrätten gjorde en samlad bedömning mot bakgrund av att överträdelserna avser två centrala skyldigheter och att de pågått under relativt lång tid liksom tillsynsområdets betydelse för Sveriges säkerhet och konstaterade att tillsynsmyndighetens beslutade sanktionsavgift på 11 miljoner kronor var väl avvägd och proportionerlig. 

Samma resonemang fördes i kommunärendet men Förvaltningsrätten uppmärksammade särskilt att överträdelserna pågått i många år. Tillsynsmyndighetens bedömning om en sanktionsavgift på 1 miljon kronor var även i detta fall väl avvägd och proportionerlig. 

Några reflektioner

Avgörandedatumet mellan kommunärendet och bolagsärendet skiljer sig med ungefär ett halvår men det finns många likheter mellan fallen vilket är anledningen till att vi valde att skriva om dem tillsammans. Domstolen ser allvarligt på att man inte uppfyller centrala skyldigheter i säkerhetsskyddslagen. En sådan enkel sak som anmälan bör kunna läkas väldigt snabbt, särskilt om verksamhetsutövaren är medveten om att man bedriver säkerhetskänslig verksamhet. 

Det är också tydligt att det inte räcker med att ha ett dokument på plats med titeln säkerhetsskyddsanalys. Säkerhetsskyddsanalysen måste också uppfylla de krav som Säkerhetspolisens ställer i föreskrifterna. Där finns regler om verksamhetsbeskrivning, identifiering och bedömning av skyddsvärden, säkerhetshot och dimensionerande antagonsitiska förmågor, sårbarheter, säkerhetsskyddsåtgärder och beslut om fastställande av högsta chef. Dessa uppgifter måste vara tillräckligt detaljerade så att det går att bedöma vilka säkerhetsskyddsåtgärder som är nödvändiga och relevanta för verksamheten. Analysen måste omfatta hela den säkerhetskänsliga verksamheten hos aktören. Säkerhetsskyddsanalysen måste alltså ha en hög kvalité för att accepteras som säkerhetsskyddsanalys. 

Dessutom lär domstolen att dessa överträdelser pågår till dess de ha läkts genom anmälan och/eller fastställande av uppdaterad säkerhetsskyddsanalys. Det ligger alltså i alla verksamhetsutövares intresse att se över sin säkerhetsskyddsanalys så att den håller en såpass hög kvalité att den kan användas i verksamheten. Det finns i annat fall stor risk att drabbas av sanktionsavgift för bristande efterlevnad av säkerhetsskyddsregelverket. 

Författare: Andreas Dahlqvist, Chefsjurist och Säkerhetsskyddschef på Certezza

Rulla till toppen