Allt eftersom omvärlden blir mer polariserad och orolig, skärper myndigheterna sin tillämpning av nationella säkerhetsbestämmelser. Detta gäller såväl i samband med transaktioner som i myndigheternas kontinuerliga tillsyn av verksamheter. Trenden har pågått en längre tid i övriga västvärlden men blir nu också alltmer tydlig i Sverige. Under loppet av ett par månader har två sanktionsbeslut med relativt höga sanktionsavgifter ålagts företag i vitt skilda branscher för brister i säkerhetsprövning av personal.

I november 2022 fastställde förvaltningsrätten en sanktion mot det kommunala bolaget VA SYD och meddelande en sanktionsavgift om 6 miljoner kronor (vilket var en sänkning av det sanktionsbelopp som Länsstyrelsen i Skåne tidigare hade satt till 7 miljoner kronor).[1] Bolaget hade inte genomfört säkerhetsprövning av ett 70-tal arbetstagare som arbetade med det kommunala dricksvattnet. Överträdelsen ansågs vara allvarlig och förvaltningsrätten underkände argumentet att åsidosättandet av säkerhetsprövningen inte medfört någon sårbarhet för Sveriges säkerhet i praktiken. Bedömningen av sanktionsavgiftens storlek utgick bland annat ifrån hur länge överträdelsen pågått, överträdelsens geografiska omfattning och om eller hur bolagets ledning hade agerat för att försöka motverka överträdelsen.

Tre månader senare beslutade Post- och telestyrelsen om en sanktion mot Telenor Sverige AB genom en sanktionsavgift om 12,5 miljoner kronor för att bolaget underlåtit att genomföra registerkontroll av 24 personer, däribland säkerhetschefen. Att överträdelsen av säkerhetsprövningen berott på att det varit svårt att bedöma de komplexa krav som säkerhetsskyddslagens regelverk uppställer på säkerhetskänslig verksamhet ansågs inte ha utgjort någon anledning att sätta ned sanktionsavgiften.

Mot bakgrund av myndigheternas alltmer skärpta tillämpning av säkerhetsskyddslagen finns goda skäl för företag att närmare undersöka om deras verksamhet omfattas av lagen, i vilka situationer ansvar kan aktualiseras och vilka åtgärder som kan behöva vidtas för att minska risken för överträdelser.

Myndigheten för samhällsskydd och beredskap har listat elva sektorer som enligt lagens förarbeten[2] identifierar samhällsviktig verksamhet som därmed skulle kunna klassas som säkerhetskänslig och löper en ökad risk för sanktioner, däribland telekom, energiförsörjning, finansiella tjänster, vård och omsorg, handel och industri samt information och kommunikation. Listan är inte uttömmande, vilket innebär att även andra verksamheter kan bedriva säkerhetskänslig verksamhet. Generellt gäller att verksamheten kan omfattas av lagen (i) om verksamheten behandlar information som är av betydelse för Sveriges säkerhet, dvs. information som ska hållas hemlig av säkerhetsskäl; eller (ii) om verksamhetens funktion är av grundläggande betydelse för det svenska samhällets eller totalförsvarets funktion (stor skada för samhället vid angrepp). Det räcker att en verksamhetsutövare till någon del bedriver säkerhetskänslig verksamhet för att lagen ska bli tillämplig.

Den som bedriver säkerhetskänslig verksamhet är bland annat skyldig att anmäla den säkerhetskänsliga verksamheten till tillsynsmyndigheten samt utreda och dokumentera behovet av säkerhet i en så kallad säkerhetsskyddsanalys. Beroende på vilken typ av verksamhet som är aktuell är det olika myndigheter som är tillsynsmyndighet gällande kraven på den säkerhetskänsliga verksamheten. För privata verksamhetsutövare är exempelvis Transportstyrelsen tillsynsmyndighet för företag inom bland annat vägtrafik, sjöfart och civil luftfartsverksamhet, Finansinspektionen tillsynsmyndighet för företag inom finans, Post- och telestyrelsen tillsynsmyndighet för företag inom elektronisk kommunikation och posttjänst samt länsstyrelserna tillsynsmyndighet för företag som har sin verksamhet i något av länen och inte hör till någon annan tillsynsmyndighets tillsynsområde.

En viktig säkerhetsåtgärd som ofta krävs av verksamhetsutövaren är en omfattande och fortlöpande säkerhetsprövning av de arbetstagare (eller andra personer) som i någon utsträckning ska delta i den säkerhetskänsliga verksamheten. Säkerhetsprövningen handlar om att genomföra en grundutredning som kan leda till att personen enligt beslut från bland annat tillsynsmyndigheten placeras i en särskild säkerhetsklass. I sådana fall kan det även uppställas krav på registerkontroll eller särskild personutredning av den säkerhetsklassade personen. Både registerkontroll och särskild personutredning inom ramen för säkerhetsprövningen kräver samtycke från den säkerhetsklassade personen. Säkerhetsprövningen syftar till att klarlägga om en person kan antas vara lojal mot de intressen som ska skyddas enligt säkerhetsskyddslagen och ”i övrigt [är] pålitlig från säkerhetssynpunkt”.

En ytterligare säkerhetsåtgärd som kan behöva vidtas är att bedöma om en annan aktör genom en transaktion, outsourcing, upphandling eller liknande kan få tillgång till den säkerhetskänsliga verksamheten. Om så är fallet kan det krävas att ett säkerhetsskyddsavtal upprättas dessförinnan. Verksamhetsutövaren är i sådana fall även ansvarig för att kontrollera att den andra aktören följer säkerhetsskyddsavtalet.

Som nämnts ovan har säkerhetsskyddslagen ett omfattande tillämpningsområde men med oklar avgränsning. Tillsynsaktiviteter från tillsynsmyndigheter kommer sannolikt att intensifieras framöver och överträdelser kan också leda till höga sanktionsavgifter. Företag som bedriver verksamhet som kan omfattas av lagstiftningen bör säkerställa om säkerhetsskyddslagen är tillämplig och i sådant fall tillse att relevanta säkerhetsåtgärder och rutiner finns på plats.

[1]Förvaltningsrätten i Stockholm, Mål nr 12373-22.

[2] SOU 2015:25 s. 294-295.