Grunden för den rättsliga regleringen av säkerhetsskyddet är säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658). Efter 2018 har en rad initiativ tagits i syfte att stärka säkerhetsskyddet, bland annat Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1) som trädde i kraft den 1 mars 2022 som innehåller bestämmelser som möjliggör säkerhetsskyddsavtal mellan flera parter vid samverkan eller samarbete mellan aktörer som bedriver säkerhetskänslig verksamhet. Föreskrifterna ger också en tydligare beskrivning av hur en säkerhetsskyddsanalys ska genomföras.
Det finns fortsatt en rad förbättringsförslag som är önskvärda som gör att säkerhetsskyddet får den effekt som lagstiftaren önskar. Det vittnar inte minst det remissvar som kommit in till Försvarsdepartementet på remissen Ds 2023:22 Sveriges tillträde till vissa Natoavtal.
Flera remissvar kretsar kring hantering av säkerhetsprövning där det svenska systemet för säkerhetsprövning, som innebär att verksamhetsutövaren ansvarar för säkerhetsprövningen, inte är förenligt med Nato:s klareringssystem. Regeringen tillsatte en utredare i juni i år i kölvattnet av att det svenska systemet för säkerhetsprövning inte håller måttet vilket vi har fått erfara allt för många gånger. Tyvärr är direktivet allt för smalt varför vi kan anta att det kommer ytterligare utredningar på området. Inte minst mot bakgrund av att det nuvarande systemet är administrativt betungande och långt från effektivt varför en utredning om ett nationellt klareringssystem sannolikt är att vänta.
Något som också återfinns i remissvararen är resonemang kring den rätt smala utformning av säkerhetsskyddslagstiftningen där den är avgränsad till antagonistiska hot. Begreppet antagonist får visserligen en allt bredare tolkning i praktiken i dag, men det är trots allt en avgränsning i nuvarande regelverk som behöver diskuteras.
Vad gäller frånvaron av en Nationell säkerhetsmyndighet i Sverige, vilket är ett krav som följer av Natos informationssäkerhetsavtal och säkerhetsskyddspolicy, visar resonemangen tydligt att det finns mer att önska hur säkerhetsskyddsarbetet idag styrs, leds och följs upp. Här behöver ett samlat grepp tas, som inte är begränsat till säkerhetsskyddet, utan inkluderar även samhällsviktig verksamhet som inte är av betydelse för Sveriges säkerhet. Det är inte rimligt att verksamhet som träffas av olika lagstiftningar med krav på informations- och cybersäkerhet ska anpassa sig till att staten inte har förmåga att samordna sig i dessa frågor.
Listan över utmaningar med en Natoanpassning av säkerhetsskyddet kan göras längre.
Mot bakgrund av att vi behöver göra förändringar för att harmonisera informations- och cybersäkerhetsarbetet med Nato och med EU är det också på sin plats att samordna arbetet bättre. Idag är det en rad silos där var och envar agerar utifrån sitt perspektiv. Det är sannerligen inte enkelt att vara verksamhetsutövare i verksamheter som berörs av flera olika regleringar där termer och begrepp inte är ensade, eller inte ens definierade.
För Sveriges bästa har vi rätt att kräva mer en samordnad styrning och reglering för att med begränsade medel, och över tid, ha rätt tekniska och organisatoriska skyddsåtgärder på plats för att vara tillräckligt rustade att möta dagens och morgondagens hotaktörer som inte är begränsade till enbart antagonister.