Om en verksamhetsutövare inte längre bedriver säkerhetskänslig verksamhet ska den avanmäla sig hos tillsynsmyndigheten. Tillsynsmyndigheten får inte avslå en sådan avanmälan enligt ett färskt avgörande från Förvaltningsrätten i Stockholm (Förvaltningsrätten). Om myndigheten inte håller med får den istället besluta om ett åtgärdsföreläggande med innebörden att verksamhetsutövarens ska anmäla sin verksamhet igen.
Bakgrund
Verksamhetsutövaren vände sig till sin tillsynsmyndighet för att avanmäla sin verksamhet då denne inte längre ansåg att den bedriver säkerhetskänslig verksamhet.
Tillsynsmyndigheten beslutade att avslå verksamhetsutövarens avanmälan och förklarade att beslutet inte fick överklagas enligt 8 kap. 4 § säkerhetsskyddslagen.
Verksamhetsutövaren överklagade trots överklagandeförbudet eftersom denne ansåg att det strider mot verksamhetsutövarens rätt till domstolsprövning och mot lag. Tillsynsmyndigheten bestred ändring.
Förvaltningsrättens avgörande
Den första frågan som Förvaltningsrätten hade att pröva var så klart om beslutet att avslå avanmälan överhuvudtaget var ett sådant beslut som man får överklaga eller om beslutet omfattas av överklagandeförbudet i 8 kap. 4 § säkerhetsskyddslagen. Tillsynsmyndigheten hänvisade till flera bestämmelser men ingen av dem innebar något stöd för tillsynsmyndigheten att avslå en avanmälan om säkerhetskänslig verksamhet. Med anledning av det var beslutet inte fattat med stöd av bestämmelserna i säkerhetsskyddsregelverket och därför gäller inte bestämmelserna om överklagandeförbud i 8 kap. 4 § säkerhetsskyddslagen. Det är de allmänna bestämmelserna i förvaltningslagen (2017:900) som avgör om beslutet kan överklagas. Av 41 § förvaltningslagen framgår att beslut får överklagas om det kan antas påverka någon situation på ett inte obetydligt sätt. Huruvida man anses bedriva säkerhetskänslig verksamhet eller inte är av sådan karaktär att det kan påverka verksamhetsutövaren. Därför anser Förvaltningsrätten att beslutet att avslå avanmälan får överklagas.
Den andra frågan är om tillsynsmyndigheten ens har rätt att fatta ett beslut om att avslå en avanmälan. En förutsättning för att en tillsynsmyndighet inom ramen för sin tillsynsverksamhet ska kunna meddela olika beslut är att åtgärden i fråga har författningsstöd (HFD 2016 ref. 46). Här kommer Förvaltningsrätten fram till att det inte finns något stöd i författning att besluta om avslag på avanmälan. Om en tillsynsmyndighet anser att en avanmälan är felaktig, exempelvis för att myndigheten bedömer att verksamheten fortfarande är säkerhetskänslig, bör myndigheten i stället använda sig av ett åtgärdsföreläggande enligt 6 kap. 6 § säkerhetsskyddslagen. Med anledning av detta saknades anledning att gå in på ärendet i sak.
Vad innebär detta då?
Om detta avgörande står sig så betyder det att tillsynsmyndigheterna inte får avslå en avanmälan av säkerhetskänslig verksamhet. Tillsynsmyndigheterna får istället verkställa avanmälan och öppna upp ett tillsynsärende mot verksamhetsutövaren. Under tillsynen kan tillsynsmyndigheten förelägga verksamhetsutövaren att anmäla sin verksamhet. Under tiden från avanmälan till dess föreläggandet om anmälan går ut kan verksamhetsutövaren således bedriva verksamheten utan kraven i säkerhetsskyddslagen. Vad händer då om verksamhetsutövaren dagen efter att anmälan skickats in till tillsynsmyndigheten återigen avanmäler sig? Tja, tillsynsmyndigheten måste verkställa avanmälan och öppna upp ett nytt tillsynsärende och förelägga om att inkomma med en ny anmälan, osv…. Nu tror jag iofs att de flesta seriösa verksamhetsutövare inte skulle bete sig på detta sätt men i och med detta finns en potentiell möjlighet för verksamhetsutövare att verkställa en förvaltningsrättslig överbelastningsattack på tillsynsmyndigheten. Detta kan såklart lätt lösas genom att införa en möjlighet för tillsynsmyndigheterna att fatta beslut om att avslå en avanmälan. Ett sådant beslut bör såklart vara överklagbart så att det kan prövas i sak på samma sätt som förelägganden om att anmäla verksamheten kan prövas i sak.
Om vi höjer blicken något – hur ser det ut i cybersäkerhetsregelverket?
Ett näraliggande område är cybersäkerhetslagen som också ställer krav på anmälan av verksamheten till tillsynsmyndigheterna. Tittar vi på hur regelverket ser ut så ser det i varje fall ut som att samma lucka finns i det regelverket. Lagstiftaren tänker sig att man anmäler sig och reglerar kraven för anmälan men har inte tänkt på att verksamheter också kan tänkas göra en exit den del av verksamheten som omfattas av regelverket. Varken cybersäkerhetslagen (2025:1506), cybersäkerhetsförordningen (2025:1507) eller Myndigheten för civilt försvars föreskrifter om anmälan och identifiering av väsentliga och viktiga verksamhetsutövare (2026:1) innehåller några bestämmelser som avanmälan av verksamheter.