Bolaget hade en säkerhetsskyddsanalys från 2020 som inte uppfyllde kraven på en fullgod säkerhetsskyddsanalys. Bolaget som bedriver säkerhetskänslig verksamhet av särskild betydelse för Sveriges säkerhet har därtill inte ingått säkerhetsskyddsavtal och samrått med tillsynsmyndigheten i nio fall. Bristerna motiverar en sanktionsavgift på 25 miljoner kronor enligt en dom av Kammarrätten i Stockholm.
KR SM 7-25 (i skrivande stund inte vunnit laga kraft)
Bakgrund
I oktober 2022 inledde tillsynsmyndigheten tillsyn mot bolaget om hur det efterlever vissa krav i säkerhetsskyddslagen och anslutande föreskrifter, bland annat krav som rör säkerhetsskyddsanalys, säkerhetsskyddsavtal samt samråd inför vissa förfaranden som kräver säkerhetsskyddsavtal. Tillsynsmyndigheten var tydlig med att det var bolagets agerande efter den 1 december 2021 som bedömdes. Tillsynsmyndigheten bedömde att det rörde sig om såpass allvarliga överträdelser att det motiverar ett belopp i den övre halvan av beloppsintervallet och beslutade om en sanktionsavgift på 33 miljoner kronor, (50 miljoner är maxbeloppet idag).
Bolaget överklagade till Förvaltningsrätten i Stockholm som i maj 2025 i dom fastställde sanktionsavgiften till 25 miljoner kronor. Sanktionsavgiften sattes framför allt ned för att bolaget visat att antalet fall där bolaget åsidosatt skyldigheten att ingå säkerhetsskyddsavtal och samråda i är färre än de som legat till grund för det överklagade beslutet.
Bolaget överklagade till Kammarrätten i Stockholm och framförde bland annat att den tidigare gällande säkerhetsskyddsanalysen som fastställdes 2020 och att eventuella brister i den därför inte kan bli föremål för en sanktionsavgift. Bolaget menade också att skyldigheterna kopplade till säkerhetsskyddsavtal och samråd med tillsynsmyndigheten som hänför sig till tid före den 1 december 2021 inte kan läggas till grund för sanktionsavgift enligt bolaget. Bolaget uppgav också att de felaktigt uppfattat att de varit undantagna från reglerna om säkerhetsskyddsavtal och samråd.
Kammarrättens avgörande
Kammarrätten konstaterar att överträdelser enligt säkerhetsskyddslagen i många fall betraktas som pågående fram till dess att de har upphört. Det innebär att en överträdelse inte alltid endast sker vid en given tidpunkt, när den ursprungligen uppstår eller när en skyldighet enligt lagstiftningen åsidosätts första gången. Ett exempel på en sådan överträdelse som kan betraktas som pågående fram till dess att den har upphört är avsaknaden av en väl genomförd säkerhetsskyddsanalys. Säkerhetsskyddsanalysen hade således behövt uppdateras den 1 december 2021.
Kammarrätten lyfter också betydelsen av en säkerhetsskyddsanalys av god kvalité. Utifrån säkerhetsskyddsanalysen ska verksamhetsutövaren planera ett väl avvägt och balanserat säkerhetsskydd där olika säkerhetsskyddsåtgärder samverkar med varandra. Den säkerhetsskyddsanalys som bolaget har haft under den sanktionsgrundande perioden redovisar genomgående relevanta uppgifter på en så pass övergripande nivå att det är svårt att bedöma om bolaget har vidtagit tillräckliga och adekvata åtgärder för att uppnå ett heltäckande säkerhetsskydd. Dessutom har bolaget inte uppdaterat säkerhetsskyddsanalysen i tid. Domstolen framhåller att bestämmelserna i Säkerhetspolisens föreskrifter om vad en säkerhetsskyddsanalys ska innehålla är tillräckligt tydliga för att verksamhetsutövare ska kunna utläsa vilka krav som ställs på en säkerhetsskyddsanalys. Utan en ingående säkerhetsskyddsanalys är det, enligt kammarrätten, svårt att avgöra om de eventuella säkerhetsåtgärder som vidtagits ger ett heltäckande och effektivt säkerhetsskydd.
Kammarrätten konstaterar – baserat på bolagets egna uppgifter – att bolaget i vart fall vid nio (9) förfaranden inte ingått säkerhetsskyddsavtal och inte genomfört samråd, trots att det enligt lag skulle ha gjorts. Dessa överträdelser innebär att utomstående aktörer har kunnat få tillgång till säkerhetsklassificerade uppgifter eller på annat sätt ta del av säkerhetskänslig verksamhet utan att säkerhetsskyddet varit reglerat.
Tanken med ett säkerhetsskyddsavtal är bl.a. att den säkerhetskänsliga verksamheten och dess säkerhetsskyddsklassificerade uppgifter ska ha samma skydd hos en leverantör eller annan motpart som hos verksamhetsutövaren. Syftet med samrådsförfarandet innan till exempel utkontraktering av säkerhetskänslig verksamhet sker är i sin tur bl.a. att förebygga att sådan verksamhet exponeras för en annan aktör i situationer där det av olika skäl inte är lämpligt.
Underlåtenhet att teckna säkerhetsskyddsavtal innebär att höga skyddsvärden vid upprepade tillfällen har varit exponerade för olika leverantörer utan att bolaget ställt krav på säkerhetsskyddsåtgärder, vilket är allvarligt.
Underlåtenhet att följa skyldigheten om samråd har bland annat inneburit att tillsynsmyndigheten har fråntagits möjligheten att, utifrån sektorspecifika kunskaper, bedöma lämpligheten av de externa aktörer som bolaget avsett att inleda olika förfaranden med. Inte heller har lämpligheten av förfarandet i sig kunnat bedömas, vilket också måste betraktas som allvarligt.
Bolaget har åsidosatt centrala och grundläggande skyldigheter som följer av säkerhetsskyddslagen och överträdelserna har pågått i cirka två år vilket är en lång period. Även om säkerhetsskyddslagstiftningen i vissa delar är komplicerad och flera ändringar är relativt nya så bedömer kammarrätten att bolaget har haft flera år och flera möjligheter på sig att uppfylla sina skyldigheter enligt säkerhetsskyddslagen. Sammantaget bedömer kammarrätten att sanktionsavgiften på 25 miljoner kronor är proportionerlig.
Vikten av en säkerhetsskyddsanalys av god kvalité ställs på sin spets
Kammarrättens avgörande är viktigt och principiellt intressant. Att man lyfter betydelsen av en säkerhetsskyddsanalys av god kvalité innebär att det inte går att kalla vad som helst för en säkerhetsskyddsanalys. Sveriges säkerhet kan inte viftas bort med innehållslösa dokument. De måste gå att tillämpa i praktiken och verksamheten måste säkerställa att det efterlevs. Det måste gå att planera ett väl avvägt och balanserat säkerhetsskydd där olika säkerhetsskyddsåtgärder samverkar med varandra. Det ställer högre krav på säkerhetsskyddschefer och säkerhetsskyddsorganisationer såväl att producera analyser av bra kvalité som att bedöma det egna arbete som organisationen bedriver. Några formella krav för att ha rollern som Säkerhetsskyddschef finns emellertid inte. Kanske skulle det behövas. Detta kanske är något som myndigheterna skulle behöva satsa mer på. Det kan vara svårt att bedöma om en kandidat till rollen som säkerhetsskyddschef har tillräcklig kompetens för uppgiften. I arbetet med säkerhetsskydd måste man inte bara ha koll på skyddsvärdena man måste också vara bra på juridik, vara insatt i det säkerhetspolitiska läget, vara kunnig inom informations- och cybersäkerhet, kompetent inom personalsäkerhet och duktig på fysisk säkerhet. Här är det nog viktigt att vara ödmjuk, inse sina begräsningar och inte dra sig för att söka hjälp och stöd av kollegor, nätverk eller andra professionella samarbetspartner.
En annan intressant observation som kan göras av domen är kammarrätten framhåller att säkerhetsskyddslagstiftningen är komplicerad och att många ändringar har gjorts i den, men samtidigt har bolaget haft flera år och flera möjligheter på sig att uppfylla sina skyldigheter enligt säkerhetsskyddslagen. Med andra ord minskar möjligheten att tillsynsmyndigheter och domstolar har överseende med överträdelser över tid eftersom vart efter tiden går får verksamhetsutövare mer tid förkovra sig och sätta sig in i regelverket så att regelverket kan efterlevas. Om man känner sig osäker på någon del av säkerhetsskyddsregelverket är det således hög tid att täppa till dessa luckor.