Gränsdragningen mellan leverantör och verksamhetsutövare klargörs i nya domar

I vår tidigare krönika, "Säkerhetsskyddslagen: En vägledning för leverantörer till verksamhetsutövare som bedriver säkerhetskänslig verksamhet”, redogjorde vi för de grundläggande skyldigheterna för de aktörer som genom säkerhetsskyddsavtal deltar i någon annans säkerhetskänsliga verksamhet. En central fråga som ofta vållar huvudbry hos både chefer och säkerhetsskyddschefer är när en leverantör upphör att vara "bara" en leverantör och i stället ska betraktas som en självständig verksamhetsutövare med eget ansvar under säkerhetsskyddslagen.

Denna gränsdragning har nu ställts på sin spets i två domar från Förvaltningsrätten i Stockholm den 9 januari 2026 (mål nr SM 4-25 och SM 20-24). Även om det är frågan om domar från en underinstans finns det begränsat med rättspraxis på området och domarna innehåller välkomna klargöranden för leverantörer som arbetar med säkerhetsskyddsavtal. I korthet klargör domarna att en leverantör kan ha eget ansvar som verksamhetsutövare även om leverantören arbetar under säkerhetsskyddsavtal med en kund. Förvaltningsrättens domar har i skrivande stund inte överklagats.

Bakgrunden till målen

Försvarets materielverk (FMV) respektive Länsstyrelsen i Skåne län har förelagt ett ledande försvarsföretag (nedan kallat Bolag A) respektive ett teknikkonsultbolag (nedan kallat Bolag B) att anmäla sina säkerhetskänsliga verksamheter enligt 2 kap. 6 § säkerhetsskyddslagen (2018:585). Bolagen motsatte sig detta och båda anförde att de endast deltog säkerhetskänslig verksamhet som leverantör under befintliga säkerhetsskyddsavtal. Bolag A anförde att deras egen forskning och utveckling inom försvarsindustrin, som inte omfattades av direkta statliga beställningar, saknade koppling till Sveriges säkerhet och därmed inte utgjorde säkerhetskänslig verksamhet. Bolag B menade i sin tur att det inte fanns något "överskjutande skyddsvärde" i deras egen verksamhet och att all hantering av känsliga uppgifter redan var reglerad och skyddad genom kundernas försorg.

Tillsynsmyndighetens rätt att förelägga om anmälan

En principiellt viktig fråga i båda målen var om tillsynsmyndigheterna över huvud taget hade lagstöd att tvinga en aktör att anmäla sig. Bolagen hävdade att ansvaret för bedömningen helt vilar på den enskilde. Förvaltningsrätten konstaterade dock i båda målen att tillsynsmyndigheterna, med stöd av 6 kap. 6 § säkerhetsskyddslagen, hade rätt att förelägga en aktör att vidta åtgärder för att fullgöra sina skyldigheter. Domstolen slog i mål nr SM 4-25 fast att om en aktör kunde undandra sig anmälningsplikt genom att ensidigt bedöma sin verksamhet som icke-säkerhetskänslig skulle lagen i praktiken bli dispositiv. Därmed accepterar inte domstolen att “den som ska anmäla” ensidigt kan avgöra att anmälan inte behövs.

Bedömningen av bolagens verksamheter

Bolag A:s huvudargument var att forskning och produktion inom försvarsmaterielindustrin kräver en koppling till svenska staten för att anses vara av betydelse för Sveriges säkerhet. Förvaltningsrätten avvisade detta och menade att begreppet "säkerhetskänslig verksamhet" definieras utifrån verksamhetens betydelse för nationella intressen, inte utifrån en specifik affärsrelation (jfr. 1 kap. 1 § säkerhetsskyddslagen).

Domstolen framhöll vidare att försvarsindustrin är ett område där det typiskt sett bedrivs säkerhetskänslig verksamhet med betydande skyddsvärden. Verksamhet i tidiga skeden, såsom innovation och utveckling av teknik som bolaget har förhoppningar om att staten ska köpa i framtiden, kan i högsta grad ha betydelse för Sveriges försvarsförmåga. Detta innebär att chefer inom försvarssektorn måste inse att eget tekniskt kunnande och rådighet över känslig teknik i sig kan medföra ett verksamhetsutövaransvar enligt säkerhetsskyddslagen. 

Bolag Bs huvudargument var att det inte fanns något "överskjutande skyddsvärde" i deras egen verksamhet och att all hantering av känsliga uppgifter redan var reglerad och skyddad genom kundernas säkerhetsskyddsavtal. Domstolen konstaterade att en aktör kan anses bedriva säkerhetskänslig verksamhet genom sitt samlade uppdrag (jfr. prop. 2017/18:89 s. 45). För Bolag Bs del innebar innehavet av 60–100 säkerhetsskyddsavtal med 35–55 olika kunder – där mer än hälften av de 2 500 konsulterna deltog i säkerhetskänsliga uppdrag – att bolaget som helhet fick en sådan insyn i och kunskap om Sveriges säkerhet att bolaget självt blev verksamhetsutövare. Därutöver var en central slutsats i domen att den samlade bilden av vilka kunder en leverantör har, vilka konsulter som arbetar var, och vetskapen om vilka anställda som är registerkontrollerade, i sig är information som är av betydelse för Sveriges säkerhet. Ett antagonistiskt angrepp mot en sådan leverantör kan medföra skada för nationella intressen eftersom angriparen via leverantören kan få en samlad ingång till flera kritiska verksamheter.

Sammanfattningsvis var kärnan i båda målen att en leverantörs “säkerhetskänslighet” bedöms utifrån verksamhetens faktiska betydelse. 

Säkerhetsskyddsavtal utgör ingen frizon från eget ansvar

Domarna klargör även en vanlig missuppfattning, dvs. att ett säkerhetsskyddsavtal skulle ersätta det egna ansvaret som verksamhetsutövare. Domstolen konstaterade i båda målen att det inte finns något undantag i lagen för aktörer som agerar som leverantörer. Även om ett bolag deltar i en annan verksamhetsutövares verksamhet genom avtal kan det bedriva en faktisk egen verksamhet, till exempel genom sin produktion eller på grund av ett omfattande åtagande gentemot ett stort antal verksamhetsutövare. Leverantörer kan alltså ha dubbla roller: de är både leverantörer under ett säkerhetsskyddsavtal och självständiga verksamhetsutövare för sin egen produktion och sina egna IT-system. Dessa dubbla roller kan konkretiseras enligt följande:

• Som leverantör omfattas man av kundens säkerhetsskyddsavtal för den del man deltar i kundens säkerhetskänsliga verksamhet.

• Som verksamhetsutövare ansvarar man själv för säkerhetsskyddet i egen verksamhet (till exempel produktion, utveckling och egna IT-miljöer) när den är säkerhetskänslig, till exempel på grund av att man bedriver egen forskning och utveckling inom försvarsindustrin eller på grund av åtaganden gentemot ett stort antal verksamhetsutövare.

Praktiska konsekvenser för verksamhetsutövare och leverantörer

Domstolen slog i domarna fast flera principer som kan bli vägledande för leverantörer med säkerhetsskyddsavtal. 

För det första är ett säkerhetsskyddsavtal inte en garanti för att leverantören inte också är en verksamhetsutövare. Om företaget genom produktion, forskning eller era samlade konsultuppdrag hanterar information eller skapar produkter av nationell betydelse, har företaget ett eget ansvar direkt under säkerhetsskyddslagen. 

För det andra har tillsynsmyndigheter rätt att genomföra kartläggningar och förelägga en leverantör att anmäla sig. En leverantör kan inte undandra sig detta genom att ensidigt hävda att man "endast är leverantör". Tillsynsmyndigheten behöver vidare endast ha "skälig anledning att anta" att verksamheten är säkerhetskänslig för att agera. 

För det tredje kan konstateras att om ett företag växer och får många kunder inom säkerhetskänsliga sektorer (till exempel försvaret, energi eller transport) ökar sannolikheten för att företaget betraktas som en självständig verksamhetsutövare. Den samlade mängden skyddsvärden hos företaget skapar ett eget behov av säkerhetsskydd.

Det ska även tilläggas att domstolen i mål SM 4-25 uttalar att Sveriges säkerhet är ett begrepp som måste bedömas i ljuset av samhällsutvecklingen och att behovet av säkerhetsskydd kan skifta över tid (jfr. prop. 2017/18:89 s. 133). Det innebär enligt domstolen att verksamheter, skeenden och processer som tidigare inte har bedömts vara av betydelse för Sveriges säkerhet kan bli det, beroende på samhällsutvecklingen och säkerhetsläget. 

Rekommendationer

Sammanfattningsvis innebär Förvaltningsrätten i Stockholms domar att det finns grund för leverantörer med säkerhetsskyddsavtal att ställa sig tre frågor:

1.    Har vi egen verksamhet (till exempel utveckling/produktion/IT-drift) som i sig kan vara av betydelse för Sveriges säkerhet?

2.    Innebär omfattningen av våra åtaganden till andra verksamhetsutövare att vi skapar ett eget behov av säkerhetsskydd?

3.    Om tillsyn kommer, kan vi visa hur vi gjort vår bedömning?

Som även betonades i vår tidigare krönika är säkerhetsskyddsarbetet en kontinuerlig process och den huvudsakliga lärdomen från de nya domarna är att säkerhetsskyddsavtal inte gör att man kan avstå från att göra en bedömning av om man själv bedriver säkerhetskänslig verksamhet. Mot bakgrund av utvecklingen i omvärlden är detta en fråga man som företag kan behöva ställa sig lite oftare än man har gjort tidigare.

Foyen har bred erfarenhet av att arbeta med säkerhetsskyddsfrågor och kan även bistå med stöd i juridiska spörsmål gällande säkerhetsskyddsregelverket. Tveka inte att kontakta oss om du behöver hjälp