Säkerhetspolisen och Försvarsmakten har i samverkan med övriga tillsynsmyndigheter tagit fram ett metodstöd för utfärdande av sanktionsavgift enligt säkerhetsskyddslagen. Metodstödet är tänkt att vara en vägledning för tillsynsmyndigheterna och finns inte tillgängligt på myndigheternas webbplatser. Icke desto mindre kan metodstödet vara ett utmärkt verktyg för oss som arbetar inom säkerhetskänslig verksamhet dels för att få en uppfattning om hur  hög en eventuell sanktionsavgift kan bli för överträdelser av säkerhetsskyddsregelverket, dels som ett stöd i diskussioner med ledningsfunktioner för att få gehör för nödvändiga investeringar.  Metodstödet är tänkt att utvecklas allteftersom ny praxis kommer från domstolarna. Metodstödet kommer också behöva utvecklas när förslaget i Motståndskraft för samhällsviktiga tjänster, SOU 2024:64 om en ny sanktionsmodell för enskilda verksamhetsutövare ändras. 

Tre steg

Metodstödet är uppdelat i tre steg som systematiskt beskriver tillvägagångssättet vid fastställande av sanktionsavgift. 

1. Är sanktionsavgift aktuell? 
2. Bedömning av om en sanktionsavgift ska tas ut. 
3. Beräkning av sanktionsavgift

Är sanktionsavgift aktuell?

Metodstödet beskriver de bestämmelser som kan leda till sanktionsavgift. Bestämmelserna som kan leda till sanktionsavgift handlar om

• vissa bestämmelser om säkerhetsskydd, exempelvis utredning och dokumentation av behov av säkerhetsskydd, planera och vidta säkerhetsskyddsåtgärder, kontrollera säkerhetsskyddet i den egna verksamheten m.m., 
• vissa bestämmelser inom personalsäkerhet, exempelvis underlåtit att genomföra säkerhetsprövning eller placera anställningar eller deltagande i säkerhetsklass, m.m., 
• vissa bestämmelser om säkerhetsskyddsavtal och exponering av säkerhetskänslig verksamhet, exempelvis att man inte ingått säkerhetsskyddsavtal, inte kontrollerat att motpart följer säkerhetsskyddsavtal eller inte samrått med tillsynsmyndigheten m.m., 
• man lämnat oriktiga uppgifter till tillsynsmyndigheten vid samråd eller tillsyn
• man som aktie- eller andelsägare inte samrått med tillsynsmyndigheten inför överlåtelse av aktier eller andelar eller inte följer ett beslut om förbud mot överlåtelser.  

Preskriptionstiden för en sanktionsavgift är två år. Bevisbördan ligger hos tillsynsmyndigheten. Det är dock viktig i detta sammanhang att nämna att överträdelser av säkerhetsskyddsregelverket många gånger är perdurerande – det vill säga pågår till dess de upphör. Preskriptionstiden börjar alltså räknas när överträdelsen upphör och inte när överträdelsen påbörjas eller beslutas.  

Bestämmelserna om sanktionsavgift började gälla den 1 december 2021 och sanktionsavgifter får inte beräknas för tiden innan detta datum. 

Det är inte heller tillåtet att besluta om sanktionsavgift om tillsynsmyndigheten beslutat om ett föreläggande med vite för den aktuella överträdelsen. 

Bedömning av en en sanktionsavgift ska tas ut

Tillsynsmyndigheterna är inte skyldiga att utfärda sanktionsavgift. Om det handlar om komplexa bedömningar eller om det är svårt att bedöma om en verksamhet är säkerhetskänslig så finns ett utrymme för tillsynsmyndigheterna att avgöra om sanktionsavgift är ett lämpligt ingripande i varje enskilt fall. Ju större skada eller sårbarhet som uppstått desto mindre är utrymmet att avstå från att besluta om sanktionsavgift. Det kan vara lika allvarligt att det uppkommit en sårbarhet som att det uppkommit en faktisk skada. Vid avsiktliga överträdelser är det i princip uteslutet att avstå från att besluta om sanktionsavgift. Graden av oaktsamhet kan avgöra vilket utrymme som finns för att avstå att besluta om sanktionsavgift. 

Omständigheter att ta särskild hänsyn till om en sanktionsavgift ska tas ut är

• den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen,
• om överträdelsen var avsiktlig eller berott på oaktsamhet,
• vad som gjorts för att överträdelsen ska upphöra eller begränsa dess verkningar,  och
• eventuella tidigare överträdelser av säkerhetsskyddsregelverket. 

Listan är inte uttömmande. Även andra omständigheter i det enskilda fallet får beaktas.  En sådan aspekt kan vara under hur lång tid en överträdelse pågått. 3-4 månader har bedömts vara en förhållandevis kort period och 8 -10 månader har bedömts vara en förhållandevis lång period. En aspekt när det gäller kommuner kan även vara den befolkningsmässigt relativa storleken på kommunen. 

Faktorer som kan tala för att överträdelser ska anses avsiktliga är 

• tydlig nonchalans mot regelverket,
• aktiva beslut om att göra avsteg från säkerhetsskyddsregelverket, 
• erkännande om att andra prioriteringar gjorts / fått företräde,
• kännedom om eftersatt säkerhetsskydd,
• tidigare överträdelser, och 
• vinster gjort till följd av överträdelsen. 

Faktorer som kan tala i mildrande riktning:

• Snabb rättelse eller åtgärd efter påpekande, och
• aktivt samarbete med tillsynsmyndigheten.

Försvårande faktorer: 

• Åtgärder vidtas först efter påtryckning eller vägran att samarbeta med tillsynsmyndigheten, (åtgärdsföreläggande anses vara påtryckning), och
• avanmälan av säkerhetskänslig verksamhet utan saklig grund eller i samband med tillsyn ändrar eller omvärderar sin bedömning. 

Beräkning av sanktionsavgift

Beträffande beräkningen av sanktionsavgiften lyfts följande omständigheter fram: 

• Skadan eller sårbarhetens storlek, större skada ger mindre utrymme att bestämma avgiften till ett lågt belopp. 
• Avsiktlig överträdelse talar för högre avgift, och oaktsamhet leder till lägre avgift. Graden av oaktsamhet har betydelse. 
• Snabb rättelse och samarbete med tillsynsmyndighet leder till lägre avgift.
• Tidigare överträdelse kan motivera ett högre belopp.
• Vinst som det inneburit för den avgiftsskyldige, det inklulderar intäkter minskat med kostnader eller förluster som undvikits. Ska motverka att verksamhetsutövare räknar in eventuell sanktionsavgift som en godtagbar kostnad jämfört med att genomföra en viss åtgärd.
• Verksamhetsutövarens finansiella ställning kan ha betydelse för avgiftens storlek.
• Flera överträdelser baseras på de samlade överträdelsernas allvar. 
• Övre halvan av beloppsintervallet är avsett för mycket allvarliga överträdelser. 

Sanktionsavgift får sättas ned, helt eller delvis om överträdelsen bedöms vara ringa eller ursäktlig eller om det med hänsyn till omständigheterna skulle vara oskäligt att ta ut en sanktionsavgift. T.ex. om man också drabbas av sanktionsavgift enligt något annat regelverk. Okunskap om regelverket, dålig ekonomi, tidsbrist eller bristande rutiner är dock inte skäl för att sätta ned sanktionsavgiften. Nedsättning av avgiften ska tillämpas restriktivt. 

Eventuella kommande lagändringar rörande sanktionsavgiftens storlek

I utredningen som genomför EU:s direktiv om kritiska entiteters motståndskraft (CER-direktivet), Motståndskraft för samhällsviktiga tjänster, SOU 2024:64. lämnas förslag på ändringar i säkerhetsskyddslagen som innebär att det för enskilda verksamhetsutövare ska införas en modell som liknar de administrativa sanktionsavgifter som grundas på regler från EU såsom Dataskyddsförordningen och NIS2-direktivet. Enligt förslaget ska sanktionsavgiften för enskilda bestämmas till: 

”lägst 25 000 kr och högst till det högsta av 120 000 000 kr eller 2 procent av verksamhetsutövarens totala globala årsomsättning under föregående räkenskapsår.”

För offentliga verksamhetsutövare föreslås ingen förändring. För dessa kan sanktionsavgiften bestämmas till högst 10 000 000 kr.  

Skälet bakom detta förslag är att regeringen anser att det inte är önskvärt att brister i en verksamhetsutövares säkerhetsskydd leder till mindre ingripande åtgärder än brister i andra delar av verksamhetsutövarens verksamhet som inte rör säkerhetskänslig verksamhet, SOU 2024:64 s. 279. Tanken är att sanktionsavgiften därmed ska vara avskräckande för alla verksamheter. Kopplingen av sanktionsavgiftens storlek till verksamhetsutövarens omsättning innebär också att den avgiftsskyldiges finansiella ställning får en större betydelse vid bedömning av avgiftens storlek. 

Författare: Andreas Dahlqvist, Chefsjurist och säkerhetsskyddschef