Nu har riksdagen klubbat ytterligare utvidgning av säkerhetsskyddsregelverket. Det innebär att från och med den 1 januari 2027 införs en skyldighet att anmäla pågående förfaranden till tillsynsmyndigheten.
Utökade möjligheter att ingripa i säkerhetskänslig verksamhet, bet 2025/26/JuU36
Ändringarna innebär bland annat följande:
- Tillsynsmyndigheterna får större möjligheter att ingripa mot pågående förfaranden som bedöms olämpliga ur säkerhetsskyddssynpunkt – även i fall där det inte finns krav på säkerhetsskyddsavtal.
- För att tillsynsmyndigheterna ska få vetskap om olämpliga förfaranden införs ett krav på att förfaranden ska anmälas. Om en anmälan inte görs kan en sanktionsavgift tas ut.
- Tillsynsmyndigheterna ska kunna fatta snabba, tillfälliga beslut i väntan på slutligt beslut för att förhindra skada för Sveriges säkerhet. Tillsynsmyndigheternas rätt att granska andra aktörer än verksamhetsutövaren utökas, så att tillsyn kan ske hos aktörer i förfaranden som omfattas eller har omfattats av antingen ett krav på säkerhetsskyddsavtal eller den nya anmälningsplikten.
- Tillsynsmyndigheterna ges utökade möjligheter att kräva att en verksamhetsutövare gör en särskild säkerhetsskyddsbedömning och lämplighetsprövning även i anmälningspliktiga förfaranden, om det behövs för att kunna bedöma om ett förfarande är olämpligt ur säkerhetsskyddssynpunkt.
Lagändringarna börjar gälla den 1 juli 2026 men enligt övergångsbestämmelserna börjar skyldigheten att anmäla förfaranden först att gälla från och med den 1 januari 2027.
Den verksamhetsutövare som inte anmält sina pågående förfaranden senast den 1 januari 2027 kan tvingas att betala en sanktionsavgift. För privata aktörer kan den sanktionsavgiften från och med samma datum bli avsevärt mycket högre än idag, se nedan.
Ändringen täcker viktiga luckor i lagstiftningen
Dagens regler gäller när en verksamhetsutövare har för avsikt att inleda ett förfarande. 4 kap. 1 § säkerhetsskyddslagen om krav på säkerhetsskyddsavtal i vissa fall är alltså framåtsyftande. De gäller inte förfaranden som ingåtts innan den nya säkerhetsskyddslagen trädde i kraft eller om en aktör ingått ett avtal eller samverkan innan denne ansåg att den bedrev säkerhetskänslig verksamhet och därför inte ansågs omfattas av regelverket. Efter att reglerna trätt i kraft ska man således anmäla sådana förfaranden (avtal, samverkan m.m.) som innebär att säkerhetsskyddsklassificerade uppgifter i säkerhetsklassen konfidentiell eller högre eller säkerhetskänslig verksamhet av motsvarande betydelse.
Ett ytterligare krav för anmälningsskyldigheten är att förfarandet inte omfattas av en krav på säkerhetsskyddsavtal enligt 4 kap 1 § säkerhetsskyddslagen. Den bestämmelsen ska således inte vara tillämplig för att den nya regeln ska gälla.
De nya reglerna ger också tillsynsmyndigheterna möjlighet att utöva tillsyn hos motparten av ett säkerhetskyddsavtal eller anmälningspliktigt förfarande.
Andra utmaningar med regelverket
Det är glädjande att regeringen nästan två år efter att betänkandet lämnades nu äntligen (i torsdags den 21 maj 2026) lämnat lagrådsremissen för en ny lag för ökad motståndskraft hos kritiska verksamhetsutövare. I förslaget finns också ett förslag på höjning av maxnivån på sanktionsavgifter till 120 miljoner kronor eller 2 § av den globala årsomsättningen för privata verksamhetsutövare enligt säkerhetsskyddslagen. Risken med detta är väl tyvärr att fler verksamhetsutövare som kanske borde omfattas av regelverket kommer att försöka hitta kreativa vägar ur det – vilket det tyvärr finns gott om möjligheter för idag.
Andra brister som ännu inte adresserats – för att nämna några – är undantaget från samrådsskyldigheten vid överlåtelse av aktier i publika aktiebolag enligt aktiebolagslagen, 4 kap. 15 § tredje stycket säkerhetsskyddslagen. En verksamhetsutövare som inte är peppad på att samråda en överlåtelse med tillsynsmyndigheten kan kringgå regelverket genom att göra en enkel ansökan hos bolagsverket om att ändra bolagets status till ett publikt bolag betala 1 000 kr i handläggningsavgift och eventuellt avsätta ytterligare aktiekapital. Efter överlåtelsen kan man sedan enkelt ändra tillbaka statusen om man skulle vilja. Anledningen till undantaget ansågs vara att publika aktiebolag kan ha ett stort antal aktieägare som kan vara fysiska eller juridiska personer som har svag eller ingen direkt koppling till verksamheten i bolaget. Därför ansågs det inte rimligt att ställa krav på enskilda aktieägare som vill överlåta sina aktier i ett publikt bolag. Detta gjorde sig ännu starkare gällande beträffande bolag som omsätts på en marknadsplats (handelsplattform eller börs), SOU 2018:82 s. 294. Problemet här är dock att det är alldeles för enkelt och billigt att kringgå regelverket. Det enda rimliga undantaget borde vara bolag som omsätts på en marknadsplats. Frågan om ackumulerad och aggregerad information är tyvärr väldigt urholkad och skulle behöva reglerar på ett smart sätt. Man måste komma ihåg att säkerhetsskyddsklassificering av ackumulerad och aggregerad information är ett undantag, ett undantag som dessutom inte är inskrivet i lagen utan endast kan härledas genom uttalanden i förarbeten. Därför måste vi vara mycket försiktiga vid tillämpningen av detta. Relationen mellan offentlighets- och sekretesslagen och säkerhetsskyddslagen skulle också behöva förtydligas, Säkerhetspolisens och myndigheten för civilt försvar sätter likhetstecken mellan uppgifter som omfattas av 15 kap. 2 § offentlighets- och sekretesslagen och säkerhetsskydd. Jag kan acceptera att Försvarsmakten gör det – i deras verksamhet kanske det är en rimlig tillämpning – men inom civil verksamhet är det verkligen inte samma sak. Att verksamhetsutövarens högsta chef ska fastställa säkerhetsskyddsanalysen. I min bok är säkerhetsskyddsanalysen ett strategiskt arbetsdokument som rimligen borde beslutas på styrelse-nivå och inte VD/GD-nivå. Det är nu alldeles för enkelt för en ensam VD att ”opt-out” från att omfattas av säkerhetsskyddsregelverket, men det skulle samtidigt kunna innebära att hela styrelsen skulle behöva säkerhetsprövas, vilket kan vara utmanande för vissa verksamheter. Hur en verksamhetsutövare ska ta sig in i regelverket skulle verkligen behöva förtydligas. Som det är nu utgår lagstiftningen från att alla som ska tillämpa regelverket redan är på det klara med att de omfattas.
Det är nog läge för en större översyn av säkerhetsskyddslagen.