Säkerhetspolisens chef Charlotte von Essen poängterade redan den 7 augusti i sitt sommarprogram i P1, vilket förtydligades vid presskonferensen den 17 augusti, att varje verksamhetsutövare behöver se över säkerhetsskyddet. Vid båda tillfällena var hon tydlig med att poängtera säkerhetsskyddets tre grundpelare i form av informationssäkerhet, fysisk säkerhet och personalsäkerhet. Fast inte i lagstiftarens ordning som här utan i den ordning som normalt görs gällande där det historisk har varit fokus på fysisk säkerhet och personalsäkerhet vilket fortfarande tydligt präglar såväl dialogen som insatserna. Här finns det mycket mer att önska.
Det är viktigt i sammanhanget att förstå att det är varje verksamhetsutövares ansvar att hålla sig informerad, göra bedömningar och bedriva sin verksamhet enligt de författningar som gäller på säkerhetsskyddsområdet. Det är alltså verksamhetsutövaren själv som ansvarar för att bedöma om den bedriver säkerhetskänslig verksamhet. Ingen annan, därför kan det ibland vara nödvändigt att söka stöd av sådana som har kompetens inom området.
Vi kan inte påverka det säkerhetspolitiska läget, men vissa händelser hade kanske kunnat förhindrats om vi i större grad utmanade vår egen reglering på flera områden. Vi är en integrerad del av EU vilket är oerhört tydligt bland annat när det kommer till personuppgiftshantering. Där lutar vi oss tungt på EU:s vägledning på området. I andra sammanhang har vi väldigt bestämda uppfattningar om rättstolkningen.
Ester Herlin-Karnell, Professor i EU-rätt vid Göteborgs universitet, skrev en läsvärd debattartikel på Dagens Juridik om vad hon anser är ytterligheter i svensk rättstillämpning. I debattartikeln tar hon avstamp i hur bestämmelser av svensk yttrandefrihet tillämpas i praktiken och varför hon anser att det saknas en tillämpning av proportionalitetsprincipen. Argumentationen gör hon bl.a. mot bakgrund av terrorhot kopplat till koranbränningar och inskränkningar av individers rättigheter kopplat till privata aktörer med vinstintresse och utgivningsbevis.
Det finns risk att vi för att vinna politiska poäng och stilla vår omvärld gör förändringar i vår reglering som vare sig är hälsosam eller önskvärd, inte minst ur ett långsiktigt perspektiv. Samtidigt behöver vi agera, men när det kommer till konkret vägledning snurrar expertmyndigheterna in sig i formuleringar som snarare är inövade än begripliga. Detta i en tid där vi törstar efter konkret vägledning. I dessa fall är sådana initiativ som från IMY rörande regulatorisk testverksamhet välkomna. Detta borde utvecklas på bredare front.
Vad gäller informations- och cybersäkerhetsområdet går det likt inom områden som fysisk- och personalrelaterad säkerhet att vara tydligare. I samband med Rysslands invasion av Ukraina kom cybersäkerhetsorgan i Nya Zealand, Storbritannien och Australien, för att nämna några, med tydliga rekommendationer samma dag. Vi har sedan dess gjort försök att styra upp någon liknande motsvarighet i Sverige med tveksamt resultat, Riksrevisionen sågade nyligen insatserna av det nationella cybersäkerhetscentret vilket lett till en omorganisation av sagda samarbetsorgan.
Efter den här sommaren finns det anledning att uppmärksamma de miljörelaterade hoten än mer. För den med en hög mognadsgrad med ett systematiska informations- och cybersäkerhetsarbete på plats faller det sig naturligt. För den som fortsatt skjuter från höften gör det kanske inte det, eller så blir det fokus enbart på det. Där är det snarare tur än skicklighet som avgör.
Mognadsgraden har aldrig varit viktigare än nu, och den kommer att vara än viktigare i framtiden.
Thomas Nilsson
