Det säkerhetspolitiska läget har – tråkigt nog – snabbt ändrats till det sämre och ingen ljusning syns vid horisonten. Detta återspeglas inte minst av att den nya säkerhetsskyddslagen ändrats ett flertal gånger sedan den trädde i kraft för sex år sedan. Redan innan den nya lagen började gälla såg lagstiftaren behov av justeringar. I och med Sveriges inträde i Nato kan vi vara ganska säkra på att ytterligare justeringar av det gällande regelverket är att vänta. Att bedriva säkerhetskänslig verksamhet under sådana förutsättningar är förstås utmanande liksom för tillsynsmyndigheterna att bedriva tillsyn över verksamhetsutövarnas säkerhetsskydd. Arbetet är dock nödvändigt eftersom hela det svenska samhället har en skuld att betala – under lång tid har vi inte prioriterat nödvändiga och kostnadsdrivande åtgärder. Det har vi sparat mycket pengar på men nu behöver vi göra omfattande investeringar för att ta igen de förlorade åren.
Under det gångna året har regeringen gett de 13 tillsynsmyndigheterna i uppdrag att redovisa dels den tillsyn som bedrivits mellan 2021 och 2023, dels problem med tillämpningen som tillsynsmyndigheterna skulle vilja rätta till. Redovisningen av regeringsuppdraget är spännande läsning. Dessutom har Riksrevisionen bland annat granskat om Säkerhetspolisens tillsyn på säkerhetsskyddsområdet är effektiv. Det har även börjat komma avgöranden från förvaltningsrätten och kammarrätten rörande sanktionsavgifter och förelägganden som ger viss insyn i hur det står till med säkerhetsskyddet i Sverige.
Av myndigheternas offentliga redovisning framgår att varje tillsynsmyndighet under tre år genomfört cirka 20 tillsynsärenden inom sina respektive tillsynsområden. Det innebär att varje myndighet har en kapacitet att hantera mellan fem och tio tillsynsärenden per år. Slutsatsen av det blir att tillsynseffekten blir betydligt större efter att tillsynsuppgiften fördelats till fler myndigheter. Förelägganden används för att instruera en verksamhetsutövare om att genomföra vissa åtgärder. När det gäller förelägganden är det framför allt länsstyrelserna och Svenska kraftnät som sticker ut och som använt det verktyget i en större omfattning (mellan 20 och 40 förelägganden per myndighet). Andra myndigheter har inte använt verktyget alls eller i mycket liten utsträckning. Det tillsynsmyndigheterna har fokuserat på i sin tillsyn har varit de grundläggande bestämmelserna i säkerhetsskyddslagen såsom säkerhetsskyddsanalys, anmälningsplikt och säkerhetsskyddschefens placering och mandat. Post- och telestyrelsen (PTS) har dock i några fall granskat säkerhetsskyddsåtgärder kopplade till personalsäkerhet. PTS beslut har i dessa fall överklagats och prövas just nu i domstol. Detta kan sättas i relation till att Riksrevisionen bland annat hade synpunkter på att Säkerhetspolisen huvudsakligen fokuserat sin tillsyn på grundläggande bestämmelser och inte i sin tillsyn fokuserat på säkerhetsskyddsåtgärderna: informationssäkerhet, personalsäkerhet och fysisk säkerhet.
Samråd är en process som innebär att tillsynsmyndigheten ska konsulteras innan ett visst förfarande genomförs. Det krävs exempelvis innan en verksamhetsutövare anlitar en extern aktör för att hantera uppgifter i säkerhetsskyddsklassen HEMLIG eller högre, eller delta i verksamhet av motsvarande betydelse för Sveriges säkerhet eller innan överlåtelse av säkerhetskänslig verksamhet. Mängden samråd som genomförts varierar stort mellan tillsynsmyndigheterna där Svenska kraftnät (28), Länsstyrelsen Stockholm (21), och Transportstyrelsen (10) sticker ut. Säkerhetspolisens, Försvarsmaktens och Försvarets materielverks uppgifter i denna del är inte offentliga. De andra myndigheterna har genomfört något enstaka samråd. Den genomsnittliga handläggningstiden för samråd är 98 dagar, samtidigt som handläggningstiden kan variera stort mellan myndigheter och ärenden. Långa handläggningstider kan i många fall bero på att verksamhetsutövaren som söker samråd inte har fullständigt eller på annat sätt bristfälligt underlag inför samrådet. Som verksamhetsutövare måste du räkna med god framförhållning om du ska genomföra ett samråd. Räkna alltid minst med en och en halv månad innan du kan gå vidare med dina planerade åtgärder – om du har all dokumentation på plats.
När det gäller avgöranden från domstolarna rör de flesta ärenden kommuner och kommunförbund (14). Ett fåtal domstolsärenden rör privata aktörer (4), statliga myndigheter (3) och regioner (2). En tydlig observation som kan göras av domstolsärendena är att tillsynsmyndigheterna ser allvarligare på överträdelserna än domstolarna. Sanktionsavgifterna ligger generellt högre i första instans än vad som senare blir utfallet i domstol. Denna observation har även Säkerhetspolisen uppmärksammat och påtalat för regeringen. Det innebär nämligen att det för verksamhetsutövarna finns mycket pengar att spara på att överklaga tillsynsmyndigheternas sanktionsbeslut. Det kan i sin tur leda till att domstolarna får många ärenden att avgöra och handläggningstiderna blir långa – något som inte gynnar säkerhetsskyddsarbetet. En annan viktig observation som verksamhetsutövarna bör känna till är att om man väljer att överklaga så kommer man visserligen med hög sannolikhet få en lägre sanktionsavgift, men det innebär samtidigt att detaljerna från tillsynen blir betydligt mer offentliga i domstolarnas domar och beslut. Det kan verka något märkligt att en uppgift som omfattas av totalförsvarssekretess hos tillsynsmyndigheten inte omfattas av samma totalförsvarssekretess hos domstolarna – bedömningen borde vara likartad.
Tillsynsmyndigheterna har pekat på flera utmaningar med gällande regler. En viktig fråga är samordning och sekretess mellan myndigheterna samt att vissa myndigheter har tillsynsområden som överlappar varandra. Detta gör att samordning och samarbete mellan tillsynsmyndigheterna blir svårt och verksamhetsutövare blir osäkra över vilken tillsynsmyndighet som ska granska vad. Säkerhetsskyddschefens roll, mandat och organisatoriska placering är också en fråga som det råder delade meningar om bland tillsynsmyndigheterna – den frågan ligger emellertid för avgörande i domstol i flera ärenden så den kan vi räkna med att få svar på under 2025. Frågan om krav på samråd vid överlåtelse av holdingbolag där ett dotterbolag bedriver säkerhetskänslig verksamhet är viktig att lösa ut även om det inte borde behövas en lagändring. Det borde räcka med att tillsynsmyndigheterna gemensamt kommer fram till att lagstiftningen inte avsett att det ska vara möjligt att kringgå reglerna om överlåtelse av säkerhetskänslig verksamhet genom att flytta verksamheten till ett dotterbolag och sedan överlåta modern. Det har även framförts att säkerhetsskyddslagens sanktionsavgifter inte är avskräckande – max-sanktionen för privata aktörer är 50 Mkr vilket för vissa aktörer inte motiverar de nödvändiga åtgärderna. Nu ligger i alla fall ett förslag på bordet om att detta ska ändras till 2 % av global årsomsättning, (Motståndskraft i samhällsviktiga tjänster, SOU 2024:64).
Det finns således mycket förbättringspotential i säkerhetsskyddsregelverket och vi får nog räkna med att det även under kommande år kommer att ske betydande förändringar i hur vi ska arbeta med frågorna. Samtidigt är det viktigt att alla som bedriver säkerhetskänslig verksamhet tar frågorna på allvar och inser att vi under överskådlig tid får leva med en ökad hotbild. Det är endast genom att arbeta systematiskt och korrekt med frågorna som vi kan säkerställa skyddet av Sverige.
Försvarsmakten, Redovisning av hur arbetet med tillsyn inom säkerhetsskyddsområdet bedrivits och fungerat, dnr. FM2024-21728:2 (offentliga delar).
Försvarets materielverk, FMV:s svar på regeringsuppdrag Ju2024/00356, dnr. 24FMV1756-2 (offentliga delar).
Säkerhetspolisen, Återrapport regeringsuppdrag: Tillsyn på säkerhetsskyddsområdet, dnr. 2024-8614-4 (offentliga delar).
Svenska kraftnät, Svenska kraftnäts tillsyn över säkerhetsskyddet i elförsörjningen och dammanläggningar, dnr. Svk 2024/759.
Länsstyrelsen Västra Götaland, Redovisning av arbetet med tillsyn inom säkerhetsskyddsområdet, dnr. 7033-2024.
Länsstyrelsen Stockholm, Redovisning av arbete med tillsyn inom säkerhetsskyddsområdet, dnr. 9133-2024.
Länsstyrelsen Skåne, Uppdrag att redovisa hur arbetet med tillsyn inom säkerhetsskyddsområdet har bedrivits, dnr. 451-6080-2024.
Länsstyrelsen Norrbotten, Redovisning av tillsynsuppdrag inom säkerhetsskyddsområdet, dnr. 2579-2024.
Energimyndigheten, Energimyndighetens tillsynsarbete enligt säkerhetsskyddslagstiftningen, dnr. 2024-201394.
Transportstyrelsen, Transportstyrelsens arbete med tillsyn inom säkerhetsskyddsområdet under perioden den 1 januari 2021 – den 31 december 2023, dnr. TSG 2024-946.
Strålsäkerhetsmyndigheten, Redovisning av hur Strålsäkerhetsmyndighetens arbete med tillsyn inom säkerhetsskyddsområdet har bedrivits, dnr. SSM2024-1842-2.
Post- och telestyrelsen, Redovisning av PTS arbete med tillsyn inom säkerhetsskyddsområdet, dnr. PTS-ER-2024:26.
Finansinspektionen, Redovisning av tillsynen på säkerhetsskyddsområdet, dnr. 24-5364.
Riksrevisionen, Säkerhetspolisens verksamhet, RiR 2024:24.
Motståndskraft i samhällsviktiga tjänster, SOU 2024:64
Andreas Dahlqvist
