Först 2017 tillsattes en utredare för att se över regelverket för att modernisera säkerhetsskyddslagstiftningen, men utredningen hade knappt påbörjat arbetet förrän Transportstyrelsens IT-upphandling blev en stor nyhet. Transportstyrelsen hade genom att outsourca skyddsvärda IT-system överfört sekretessbelagda uppgifter till utlandet. Utredningen kompletterades med nya direktiv för att se till att samma sak inte skulle kunna hända igen.
Som vi konstaterade i den tidigare artikeln Nya regler kring överlåtelser av säkerhetskänslig verksamhet [Aktuella Byggen nr 2, mars 2021] har det i kölvattnet av pandemin identifierats en ökad risk för att företag som bedriver säkerhetskänslig verksamhet kan bli föremål för utländska uppköp och investeringar. Först satte pandemin vårt behov av digitala lösningar i blixtbelysning, efter Rysslands invasion av Ukraina så råder det inte längre några tvivel om att alla behöver beakta de risker som finns i en digital miljö. Så vad innebär den nya säkerhetsskyddslagstiftningen egentligen?
Den nya lagstiftningen trädde i kraft den 1 december 2021 och innebär bland annat att:
- Alla som till någon del bedriver säkerhetskänslig verksamhet omfattas av lagen. Det kan alltså röra sig om såväl offentliga aktörer som enskilda verksamheter i samhällsviktiga sektorer.
- Säkerhetsskyddschefer ska finnas i alla sådana
- Säkerhetsskyddsavtal måste slutas tidigt i alla förfaranden där externa parter är involverade.
- Verksamhetsutövare åläggs ett långtgående ansvar.
- Tillsynsmyndigheten kan förbjuda samarbeten samt meddela viten och sanktioner mot verksamhetsutövare som inte följer reglerna.
Den första frågan som man bör ställa sig är således – driver jag till någon del säkerhetskänslig verksamhet?
Lagen har nämligen utvidgats till att träffa alla (oavsett organisationsform) som till någon del bedriver säkerhetskänslig verksamhet. Tidigare träffade bestämmelsen i princip bara den som i huvudsak bedrev säkerhetskänslig verksamhet. Den som till någon del bedriver säkerhetskänslig verksamhet kallas verksamhetsutövare. Men, som vi i vår tidigare artikel konstaterar, så är det inte klarlagt exakt vilka verksamheter som omfattas av lagen. Det är däremot tydligt att ansvaret för att följa lagen vilar på verksamhetsutövaren. Slutsatsen av det sagda måste bli att den som anar att det finns säkerhetskänslig verksamhet i den egna verksamheten ska ta ställning till om man träffas av lagen.
Ett sådant ”övervägande” ska ske genom en s.k. säkerhetsskyddsanalys där det utreds hur säkerhetskyddsfrågorna ska hanteras. Detta ska sedan anmälas till korrekt tillsynsmyndighet. Det som kan framstå som egendomligt är att den som inte till någon del bedriver säkerhetskänslig verksamhet, men som bedriver verksamhet i gränslandet ändå kan behöva utföra en säkerhetsskyddsanalys. Detta följer av att lagstiftaren inte definierat vilken typ av verksamhet som ska omfattas av lagen, utan bara i allmänna ordalag har exemplifierat inom vilka sektorer säkerhetskänslig verksamhet ofta bedrivs. Det är ju ofta uppenbart att man inte träffas av bestämmelserna, men i många fall krävs alltså att man vidtar åtgärder i enlighet med lagen trots att man de facto inte omfattas av den.
Den som nått slutsatsen att man omfattas av lagen behöver tillsätta en säkerhetsskyddschef. Det är ingen nyhet att en verksamhetsutövare behöver en säkerhetsskyddschef, men med de nya reglerna kommer fler att omfattas av denna skyldighet. Ansvaret för att verksamheten bedrivs i enlighet med säkerhetsskyddslagen åligger just säkerhetsskyddschefen och denne ges i den nya lagstiftningen ett särskilt utpekat ansvar att leda, samordna och kontrollera säkerhetsskyddsarbetet i verksamheten.
Lagstiftaren har förklarat att säkerhetsskyddschefen ska vara ”direkt underställd” verksamhetsutövarens högste chef och ”typiskt sett ingå i en ledningsgrupp”. Det saknas dock en legaldefinition för vad det innebär att vara ”direkt underställd” någon. Därutöver utgör Verkställande direktör respektive Styrelse de aktiebolagsrättsligt erkända organen, men huruvida Verkställande direktör vill hålla sig med en ledningsgrupp är ju en smaksak. Uttalandet rymmer därför olika tolkningar. Om det finns en ledningsgrupp bör säkerhetsskyddschefen ingå i den. Men det kan också tänka sig att varje verksamhetsutövare måste ha en ledningsgrupp för att kunna låta säkerhetsskyddschefen ingå i den. Den verksamhetsutövare som inte följer reglerna riskerar ju vite, det vore därför bra med ett förtydligande. I skrivande stund kan vi inte ge något klart svar på dessa frågor, utan vi får sätta våra förhoppningar till att tillsynsmyndigheterna snabbt hanterar frågan.
Vidare behöver alla verksamhetsutövare teckna s.k. säkerhetsskyddsavtal varje gång man ingår avtal med en kontrahent, detta då även kontrahenten behöver uppfylla säkerhetsskyddet. Lagstiftaren menar att ett säkerhetsskyddsavtal ”ska tecknas i alla situationer där säkerhetskänslig verksamhet exponeras”. Så fort en verksamhetsutövare avser ingå ett säkerhetsskyddsavtal ska detta anmälas till korrekt tillsynsmyndighet.
Vilken myndighet som ansvarar för tillsynen framgår av 7 kap. 1 § första stycket 3-6, Säkerhetsskyddsförordning (2018:658). Det är olika myndigheter beroende på verksamhetsområde. Det ska alltså särskilt påpekas att skyldigheten att anmäla inträffar redan då verksamhetsutövaren kommer på idén att exempelvis inleda ett samarbete med någon annan.
När anmälan till tillsynsmyndigheten är gjord ska ni, som verksamhetsutövare, genomföra en säkerhetsskyddsbedömning och en lämplighetsbedömning. Respektive förfarande har sitt eget syfte. Säkerhetsskyddsbedömningen för att klargöra vilken säkerhetskänslig verksamhet som kontrahenten kommer i kontakt med och lämplighetsbedömningen för att bedöma om det är lämpligt ur säkerhetsskyddssynpunkt. Om verksamhetsutövaren bedömer att ifrågavarande uppgifter är särskilt känsliga måste man dessutom samråda med tillsynsmyndigheten. Tillsynsmyndigheten äger rätt att ingripa och förbjuda det tänkta förfarandet. Först därefter får säkerhetsskyddsavtalet ingås varvid själva förfarandet (exempelvis att samarbeta) får inledas. När väl avtalet är undertecknat ska detta anmälas till tillsynsmyndigheten och slutligen, när samarbetet är över, ska även detta anmälas.
Sammanfattningsvis kan det konstateras att de nya reglerna sannolikt kommer att förhindra att information av betydelse för Sveriges säkerhet aktivt outsourcas till servrar i utlandet, så som skedde i ”Transportstyrelsens IT-upphandling”.
Därvidlag ska vi komma ihåg att det var regeringens egen myndighet som frivilligt outsourcade sina sekretessbelagda uppgifter till utlandet, men den byråkratiska lösningen bygger på att alla som till någon del bedriver säkerhetskänslig verksamhet ska underkasta sig bestämmelserna. En modern säkerhetsskyddslagstiftning borde ju bemöta nutida risker och hot, exempelvis cyberhotet. Den nya lagstiftningen besvarar dock inte frågan hur en verksamhetsutövare ska skydda säkerhetskänslig information mot antagonistiska angrepp. Den uppdaterade lagstiftningen framstår därför mer som ett försök att förflytta fokus från svensk inrikespolitik snarare än ett allvarligt menat försök att skapa en modern säkerhetsskyddslagstiftning.
Artikeln är även publicerad i Aktuella Byggen nr 2, mars 2022 och författad av biträdande jurist Mathias Kågell-Landgren.
