En säkerhetsskyddsanalys i form av en punktlista uppfyller inte lagens krav på en fullgod säkerhetsskyddsanalys och att lämna oriktiga uppgifter till tillsynsmyndigheten om att ha en säkerhetsskyddsplan kan bli kostsamt. Kommunen påfördes en sanktionsavgift på 2,5 miljoner kronor av tillsynsmyndigheten Länsstyrelsen i Västra Götalands län (länsstyrelsen), en sanktionsavgift som nu fastställts av Förvaltningsrätten i Stockholm (Förvaltningsrätten). Domen har inte överklagats och därmed vunnit laga kraft.
Bakgrund
I mars 2022 skickade länsstyrelsen ut en enkät där den tillsynade kommunen ombads besvara frågan om den bedriver säkerhetskänslig verksamhet eller inte. Kommunen tillfrågades i enkäten om det i verksamheten fanns en dokumenterad, fastställd och aktuell säkerhetsskyddsanalys.
Kommunen besvarade enkäten den 26 april 2022 och uppgav att den bedrev säkerhetskänslig verksamhet och att den hade en dokumenterad, fastställd och aktuell säkerhetsskyddsanalys. Samtidigt anmälde kommunen till länsstyrelsen att den bedrev säkerhetskänslig verksamhet enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585). I anmälan uppgav kommunen att den hade en säkerhetsskyddsanalys som fastställdes den 13 december 2019.
I februari 2024 inledde länsstyrelsen tillsyn av kommunen.
Den 4 mars 2024 inkom kommunen med begärt underlag. Säkerhetsskyddsanalysen och säkerhetsskyddsplanen var fastställda samma dag som de inkom till länsstyrelsen, dvs. den 4 mars 2024.
Eftersom underlaget var fastställd kort tid inpå begärde länsstyrelsen att kommunen skulle komplettera med kommunens tidigare fastställda säkerhetsskyddsanalys och säkerhetsskyddsplan.
Den 18 mars 2024 inkom kommunen med underlaget. Av det som inkom framgick att det vara en digital sammanställning av det arbete som legat till grund för säkerhetsskyddsarbetet i kommunen. Underlaget hade rubriken ”Säkerhetsskyddsanalys och säkerhetsskyddsplan” Underlaget som inte var daterat var uppbyggd som en punktlista och saknade närmare beskrivningar och resonemang.
Den 17 juni 2024 beslutade länsstyrelsen om att påföra en sanktionsavgift på 2,5 miljoner kronor för överträdelser enligt säkerhetsskyddslagen.
Kommunen överklagade och menade bland annat att länsstyrelsen varken utrett ärendet eller fullgjort sin kommunikationsskyldighet i tillräcklig utsträckning.
Förvaltningsrätten fastställer länsstyrelsens beslut
Utgångspunkten för Förvaltningsrättens bedömning är att det i målet är ostridigt att kommunen före den 4 mars 2024 inte haft en formellt fastställd säkerhetsskyddsanalys.
Kommunens påstående om att den, trots att analysen inte varit formellt fastställd, har genomfört ett arbete med analys och utvärdering av dess säkerhetskänsliga verksamhet som har dokumenterats och av verksamhetsutövaren betraktats som en säkerhetsskyddsanalys och säkerhetsskyddsplan, övertygar inte Förvaltningsrätten. Det underlag i form av en odaterad punktlista utan närmare beskrivningar och resonemang uppfyller inte kraven på en fullgod säkerhetsskyddsanalys menar Förvaltningsrätten. Förvaltningsrätten uttalar sig därutöver, obiter dicta (utanför saken), att den säkerhetsskyddsanalys som kommunen fastställde den 4 mars 2024 inte heller fullt ut uppfyller lagens krav – men den nya analysen är inte föremål för prövning i detta ärende utan hanteras i ett ärende om föreläggande från länsstyrelsen mot kommunen.
Med anledning av ovanstående konstaterar Förvaltningsrätten att kommunen bedrivit sin säkerhetskänsliga verksamhet utan säkerhetsskyddsanalys – något som är olagligt. Att ha en dokumenterad säkerhetsskyddsanalys är en central skyldighet för verksamhetsutövare enligt säkerhetsskyddslagens bestämmelser.
Kommunen har alltså under en lång tidsperiod saknat en sådan beslutad säkerhetsskyddsanalys som ska användas för att planera och vidta de säkerhetsskyddsåtgärder som behövs. Utan en fullgod analys går det inte att planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga relevanta omständigheter. Genom sin underlåtenhet att upprätta en fullgod säkerhetsskyddsanalys har det, enligt Förvaltningsrätten, uppstått en sårbarhet ur säkerhetsskyddssynpunkt. Sårbarheten får anses betydande med hänsyn till att den har förelegat under en längre tid och vad som har kommit fram om kommunens aktuella verksamhet. Även om det inte har visats några omständigheter som tyder på att det har uppkommit någon faktisk skada till följd av kommunens överträdelse anser domstolen att det är fråga om en överträdelse som skulle kunna leda till allvarliga konsekvenser för Sveriges säkerhet (jfr Kammarrätten i Stockholms dom den 27 september 2024 i mål nr 165-24, se nedan).
Grovt oaktsamt
Det står klart att kommunen under lång tid inte har vidtagit tillräckliga åtgärder för att den aktuella regelöverträdelsen ska upphöra. Av utredningen framgår inte heller annat än att de åtgärder som sedermera har vidtagits och resulterat i den säkerhetsskyddsanalys som kommunen fastställde den 4 mars 2024 har gjorts först sedan länsstyrelsen inledde sin tillsyn av kommunens verksamhet. Detta trots att kommunen drygt två år dessförinnan informerade länsstyrelsen om att en sådan analys fanns och i nu aktuellt överklagande har fört fram att kommunen har arbetat aktivt med sitt säkerhetsskyddsarbete under åren 2022-2023. Även om kommunen har samarbetat med länsstyrelsen under tillsynen ger utredningen därmed inte stöd för annat än att det är först efter det att tillsynen inleddes som kommunen har vidtagit de åtgärder som krävs för att följa säkerhetsskyddslagstiftningen. Överträdelsen bedöms därför vara grovt oaktsam.
När det gäller sanktionsavgiftens storlek beaktar Förvaltningsrätten särskilt att kommunen lämnat oriktiga uppgifter avseende förekomsten av en fastställd säkerhetsskyddsanalys och säkerhetsskyddsplan.
Agera nu! Vänta inte!
Det får anses stå klart att alla kommuner i Sverige idag bedriver säkerhetskänslig verksamhet oavsett kommunens storlek, se till exempel Förvaltningsrätten i Stockholms dom i mål SM 7-23, se nedan. Kommunerna har en roll inom totalförsvaret och kommuner har en skyldighet att vidta nödvändiga förberedelser för att i arbetet med beredskapsförberedelse på ett säkert sätt kunna hantera frågor som är av vikt för Sveriges säkerhet enligt lagen (2006:544) om kommuners och regioners åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap. Kommuner som har tillgång till signalsskyddssystem måste också kunna hantera säkerhetsskyddsklassificerade uppgifter.
I och med att sanktionssystemet infördes i säkerhetsskyddslagen den 1 december 2021 har tillsynsmyndigheternas möjligheter att ge råd i enskilda fall begränsats och fokus ligger istället på att säkerställa regelefterlevnad och beivra överträdelser. Verksamhetsutövare som inte följer regelverket bidrar till att skapa sanktionsgrundande sårbarheter. Sårbarheten och regelöverträdelsen pågår till dess den har korrigerats. Som nu aktuellt fall visar krävs flera formellt korrekta delar för att sårbarheten inte ska aktualiseras. Det ställs också krav på hög kvalité i analysen. Att lämna uppenbart felaktiga uppgifter till tillsynsmyndigheter är inte att rekommendera, det riskerar enbart att bli dyrare i längden för verksamhetsutövaren.
Säkerhetsskyddsregelverket innehåller många administrativa krav som kännetecknas av att frågorna måste hanteras systematiskt, noggrant och dokumenteras på korrekt sätt. Det är därför viktigt att göra rätt, det är inte enbart det slutliga resultatet som är avgörande eller att skada för Sveriges säkerhet faktiskt har uppstått. Den som känner sig det minsta osäker på sin säkerhetsskyddsanalys, säkerhetsskyddsplan eller andra delar av säkerhetsskyddsarbetet rekommenderas därför att söka stöd och hjälp istället för att skjuta från höften och kritisera tillsynsmyndigheterna som enbart gör sitt jobb.
Författare: Anderas Dahlqvist, Chefsjurist och Säkerhetsskyddschef, Certezza