En statlig myndighet hade en fastställd säkerhetsskyddsanalys från den 4 mars 2020. Under år 2022 påbörjade myndigheten arbetet med att uppdatera säkerhetsskyddsanalysen. Säkerhetsskyddschefen blev emellertid sjuk och gick sedermera tragiskt bort vilket gjorde att det saknades förutsättningar för att färdigställa uppdateringen i tid. När tillsynsmyndigheten fattade beslut om sanktionsavgift hade det gått 18 månader sedan analysen enligt lagen skulle varit fastställd på nytt. Nu har Kammarrätten i Stockholm (kammarrätten) fastställt sanktionsavgiften på 1 miljon kronor. Det saknas, menar kammarrätten, skäl att efterge sanktionsavgiften även med beaktande av säkerhetsskyddschefens sjukskrivning och bortgång.
(KR SM 10-25, FR SM 9-24)
Bakgrund
Tillsynsmyndigheten inledde tillsyn mot den statliga myndigheten och beslutade om sanktionsavgift för att myndigheten inte uppdaterat sin säkerhetsskyddsanalys i enlighet med kraven i 2 kap. 1 § andra stycket säkerhetsskyddsförordningen (2021:955). Av den bestämmelsen framgår att säkerhetsskyddsanalysen ska uppdateras vid behov och åtminstone vart annat år. Tillsynsmyndigheten beslutade om en sanktionsavgift på 3 miljoner kronor. Samt meddelade föreläggande om säkerhetsskyddschefens placering.
Myndigheten överklagade beslutet. I dom den 3 oktober 2025 undanröjde Förvaltningsrätten i Stockholm föreläggandet och fastställde sanktionsavgiften för att inte ha uppdaterad säkerhetsskyddsanalysen i tid till 1 miljon kronor. När det gällde föreläggandet om säkerhetsskyddschefens organisatoriska placering antog förvaltningsrätten en pragmatisk hållning (teleologisk tolkning) och fokuserade på organisationen och hur arbetet i organisationen bedrivs och kom fram till att det var mest ändamålsenligt att säkerhetsskyddschefen vid myndigheten är direkt underställd kanslichefen vid myndigheten. Förvaltningsrätten konstaterade att det var ostridigt i målet att myndigheten inte uppdaterat sin säkerhetskyddsanalys i tid. Med tanke på säkerhetsskyddsanalysens centrala betydelse för en verksamhetsutövares säkerhetsskyddsarbete och med hänsyn till vad som framkommit om att bristen har förelegat under en förhållandevis lång tid, anser förvaltningsrätten att underlåtelsen att uppdatera analysen innebär en allvarlig brist i myndighetens säkerhetsskyddsarbete och att det fanns fog att besluta om sanktionsavgift. När det gällde sanktionsavgiftens storlek tog förvaltningsrätten hänsyn till vad som framkommit om den dåvarande säkerhetsskyddschefens sjukdom och sedermera bortgång att underlåtelsen att uppdatera säkerhetsskyddsanalysen till viss del får anses ursäktlig men att överträdelsen pågått under så lång tid att den inte kunde vara så ursäktlig att inte sanktionsavgift alls ska tas ut.
Myndigheten överklagade förvaltningsrättens dom till kammarrätten men tillsynsmyndigheten överklagade inte frågan om säkerhetsskyddschefens organisatoriska placering.
Kammarrättens dom
Frågorna som kammarrätten hade att ta ställning till var om det finns skäl att ta ut en sanktionsavgift för att myndigheten inte uppdaterat sin säkerhetsskyddsanalys i tid och så fall vilken storlek avgiften ska vara.
Kammarrätten börjar med att konstatera vad som är ostridigt i målet, det vill säga att myndighetens säkerhetsskyddsanalys inte uppdaterats i tid. Därefter går kammarrätten vidare och svarar på om sanktionsavgift ska tas ut för överträdelsen. Det absolut vanligaste i dessa fall är att domstolen konstaterar att någon faktisk skada för Sveriges säkerhet har inte uppstått. Men lyfter samtidigt att det räcker med att en sårbarhet uppstår för att sanktionsavgift ska kunna dömas ut. Kammarrätten påpekar att med tanke på karaktären av myndighetens säkerhetskänsliga verksamhet är det allvarligt att myndigheten saknat en uppdaterad säkerhetsskyddsanalys. Utan en uppdaterad säkerhetsskyddsanalys är det svårt att avgöra om de säkerhetsskyddsåtgärder som myndigheten vidtagit under perioden från det att säkerhetsskyddsanalysen skulle varit uppdaterad innebar ett heltäckande och effektivt säkerhetsskydd. Kammarrätten framhåller att överträdelsen har pågått under en förhållandevis lång period och därmed har det uppstått sårbarheter som skulle kunna leda till allvarliga konsekvenser för Sveriges säkerhet.
Kammarrätten menar därtill att trots att myndigheten varit medveten om skyldigheten att uppdatera säkerhetsskyddsanalysen har överträdelsen inte varit avsiktlig och gett uttryck för nonchalans mot regleringen på ett sådant sätt att den varit uppsåtlig. Mot bakgrund av omständigheterna anser kammarrätten således att överträdelsen begåtts av oaktsamhet.
Myndigheten har samarbetat med tillsynsmyndigheten men ändå inte vidtagit tillräckliga åtgärder för att komma tillrätta med överträdelsen. Sammantaget finns därför skäl att ta ut en sanktionsavgift.
Sanktionsavgiftens storlek
Myndigheten har överträtt en central och grundläggande skyldighet under en förhållandevis lång tid (18 månader). Överträdelsen har skett av oaktsamhet och inneburit en sårbarhet för Sveriges säkerhet. Kammarrätten tar vidare hänsyn till (oklart i vilken riktning) till myndighetens storlek (liten) och finansiella ställning (anslagsfinansierad) men också karaktären av myndighetens säkerhetskänsliga verksamhet (säkerhetskänslig). Sammantaget blir sanktionsavgiften på samma nivå som förvaltningsrätten beslutat.
Nedsättning av sanktionsavgift
Det finns ett visst utrymme för att sätta ned eller helt efterge en sanktionsavgift. Kammarrätten påpekar att den möjligheten ska tillämpas restriktivt och endast när det skulle te sig oskäligt att ta ut avgiften. T.ex. om man drabbas av sanktionsavgift enligt ett annat regelverk för samma överträdelse (ex.vis dataskyddsförordningen) för samma brist. Däremot går det inte att få nedsättning på grund av dålig ekonomi, tidsbrist eller bristande rutiner. Endast undantagsvis kan en överträdelse vara ursäktlig när den berott på omständigheter utanför den avgiftsskyldiges kontroll. Även med beaktande av det ansträngda personalläge som uppkom till följd av säkerhetsskyddschefens sjukskrivning och sedermera bortgång anser kammarrätten att överträdelsen anses överträdelsen inte ha varit ursäktlig eller berott på omständigheter utanför myndighetens kontroll.
Form viktigare än funktion?
Målet sätter fingret på något som är symptomatiskt inom säkerhetsskyddstillsynerna idag. Med obligatoriska sanktionsavgifter och bestämmelser som fokuserar på form snarare en operativ effekt så urholkas säkerhetsskyddsarbetet genom sanktionsavgifter – som i detta fall går runt inom staten. Visst har domstolen rätt i att det kan vara svårt att avgöra om de säkerhetsskyddsåtgärder man vidtagit innebär ett heltäckande och effektivt säkerhetsskydd. Men resultatet av detta blir ju att verksamhetsutövare kommer att fokusera på att analysen har ”rätt datum” snarare än att den har den önskade effekten. Det hade varit extremt enkelt för myndigheten att bara ta upp den gamla analysen till kanslichefen, byta beslutsdatum och kanske diarienummer men med identiskt innehåll. Då hade myndigheten uppfyllt formkraven och sannolikheten för en sanktionsavgift hade blivit mycket, mycket lägre. Jag frågar mig vad vi uppnår med denna modell. Fostrar vi inte en säkerhetskultur som kännetecknas av piska och straff snarare än morot och motivering? Det är svårt att bedriva tillsyn på säkerhetskyddsområdet och det kan kännas som att man gör bra saker när man hittat en överträdelse som man kan drämma till med en sanktionsavgift på. Men har Sveriges säkerhet verkligen stärkts genom detta? Alltså klart viktigt att man har ett systematiskt och aktivt säkerhetsskyddsarbete – en säkerhetsskyddsanalys är inte något som man ska skriva vid ett tillfälle och damma av vart annat år – då har man missat något fundamentalt. Men vore det inte bättre om man fokuserar med på systematiken än formella uppdateringsbeslut?
Systematik vid bedömning av sanktionsavgift och nedsättning
Det är intressant att analysera skillnaden i metodik mellan förvaltningsrätten och kammarrätten vid resonemanget rörande sanktionsavgiften i detta fall. Förvaltningsrätten synes ta hänsyn till säkerhetsskyddschefens sjukskrivning och bortgång redan vid bestämningen av sanktionsavgiftens storlek medans kammarrätten resonerar mer ”straffrättsligt” konstaterar vad straffvärdet för överträdelsen är = sanktionsavgiftens storlek och redovisar detta och därefter resonerar kring frågan om eventuell nedsättning av avgiften eftersom det vanligtvis inte är sådana omständigheter som är relevanta för bedömningen av allvarlighetsgraden av överträdelsen utan mer handlar om situationer där det skulle vara oskäligt att döma ut fullt straff/sanktionsavgift för överträdelsen.