Vad innebär "direkt underställd"? Kammarrätten klargör säkerhetsskyddschefens placering

Kammarrätten i Stockholm har i en uppmärksammad dom från april 2026 slagit fast att säkerhetsskyddschefen ska vara organisatoriskt och funktionellt – men inte nödvändigtvis arbetsrättsligt – direkt underställd verksamhetens högsta chef. Domen ger verksamhetsutövare ett visst organisatoriskt handlingsutrymme, men öppnar inte för en fri placering av säkerhetsskyddschefen.

I våra tidigare krönikor har vi redogjort för de grundläggande skyldigheterna under säkerhetsskyddslagen och för gränsdragningen mellan leverantör och verksamhetsutövare. Temat för den här krönikan är en återkommande praktisk sådan – hur säkerhetsskyddschefen ska placeras i organisationen. Lagen är tydlig med att säkerhetsskyddschefen ska vara “direkt underställd” verksamhetens högsta chef – men vad innebär det egentligen?

Denna fråga har nu prövats av Kammarrätten i Stockholm i en dom meddelad den 13 april 2026 (mål nr SM 1-25). Domen är välkommen då det sedan säkerhetsskyddslagens ikraftträdande har rått en osäkerhet om hur rekvisitet “direkt underställd” i 2 kap. 7 § tredje stycket säkerhetsskyddslagen (2018:585) (”SSL”) ska tolkas. I skrivande stund har kammarrättens dom överklagats till Högsta förvaltningsdomstolen (”HFD”) och HFD har, såvitt vi känner till, ännu inte tagit ställning till frågan om prövningstillstånd. I avsaknad av vägledning ser vi dock ett värde i att redogöra för domen och domstolarnas resonemang. I korthet slår kammarrätten fast att säkerhetsskyddschefen ska vara organisatoriskt och funktionellt direkt underställd verksamhetens högsta chef, men att detta inte nödvändigtvis kräver att den högsta chefen också har personalansvar för säkerhetsskyddschefen.

Bakgrunden till målet

Länsstyrelsen i Västra Götalands län hade i egenskap av tillsynsmyndighet förelagt Linköpings kommun att ändra den organisatoriska placeringen av kommunens säkerhetsskyddschef. Enligt länsstyrelsen uppfyllde kommunen inte kravet i 2 kap. 7 § tredje stycket säkerhetsskyddslagen eftersom kommundirektören inte hade både verksamhets- och personalansvar för säkerhetsskyddschefen. Länsstyrelsen förelade därför kommunen att se till att kommundirektören hade såväl verksamhets- som personalansvar för säkerhetsskyddschefen på heltid och att säkerhetsskyddschefen skulle ingå i kommunens ledningsgrupp.

I Linköpings kommun var säkerhetsskyddschefen placerad i kommunledningsstaben. Kommundirektören hade verksamhetsansvar för säkerhetsskyddschefen, utsåg denne och bestämde över resurstilldelningen. Säkerhetsskyddschefen fick uppdrag direkt av kommundirektören och hade regelbundna avstämningar med denne. Personalansvaret – det vill säga beslut om lön, ledigheter, medarbetarsamtal och arbetsmiljöfrågor – låg dock hos en annan chef, säkerhetschefen. Säkerhetschefen hade däremot inget mandat att bestämma över säkerhetsskyddschefens arbetsuppgifter.

Parternas argument

Länsstyrelsen argumenterade för en strikt tolkning av rekvisitet “direkt underställd”. Enligt länsstyrelsen skulle begreppet likställas med den normala relationen mellan en chef och en medarbetare, där chefen har både verksamhets- och personalansvar. Länsstyrelsen framhöll att lagstiftarens avsikt har varit att säkerhetsskyddschefen ska ha samma inflytande som andra chefer för verksamhetsområden i organisationen och att ett rent rapporteringskrav enligt förarbetena inte är tillräckligt. Länsstyrelsen pekade även på att det i praktiken är närmast omöjligt för tillsynsmyndigheterna att från fall till fall bedöma om kravet är uppfyllt om man accepterar olika organisatoriska konstellationer. Om säkerhetsskyddschefen inte är direkt underställd den högsta chefen i båda avseenden finns det enligt länsstyrelsen en risk att målkonflikter kring resurser avgörs på fel nivå, vilket ytterst skulle kunna äventyra skyddet av den säkerhetskänsliga verksamheten och Sveriges säkerhet.

Linköpings kommun argumenterade för en mer funktionell tolkning. Kommunen betonade att kommundirektören hade verksamhetsansvar för säkerhetsskyddschefen och bestämde över resurstilldelningen, vilket var tillräckligt för att säkerställa att säkerhetsskyddschefen kunde fullgöra sitt uppdrag. Kommunen framhöll vidare att SSL är av betungande art med straffrättsliknande karaktär och att rekvisitet därför ska tolkas restriktivt. Förutsebarhetsskäl talade enligt kommunen för att en verksamhetsutövare ska kunna organisera sin verksamhet efter dess unika behov, så länge ändamålet med bestämmelsen uppfylls. Kommunen påpekade dessutom att begreppet “direkt underställd” saknar en etablerad juridisk betydelse som innebär att en chef måste ha både verksamhets- och personalansvar över en medarbetare och hänvisade bl.a. till att också Svenska kraftnät i egenskap av tillsynsmyndighet gjort samma bedömning. Kommunen lyfte även att kravet utgör en inskränkning i det kommunala självstyret och att det därför finns anledning till en restriktiv tolkning (jfr 14 kap. 3 § regeringsformen).

Förvaltningsrättens resonemang som bakgrund

För den som vill förstå det fullständiga resonemanget är det värt att notera förvaltningsrättens dom i den underliggande instansen (mål nr SM 6-24). Förvaltningsrätten konstaterade att varken säkerhetsskyddslagen eller dess förarbeten (prop. 2020/21:194) uttryckligen anger att den högsta chefen måste ha personalansvar för säkerhetsskyddschefen. Förarbetena talar i stället om att säkerhetsskyddschefen organisatoriskt ska finnas nära verksamhetsutövarens ledning och chef, att säkerhetsskyddsfrågor ska beaktas i den dagliga styrningen och att säkerhetsskyddschefen ”typiskt sett” kommer att ingå i en ledningsgrupp. Förvaltningsrätten bedömde att det avgörande är om säkerhetsskyddschefens placering uppfyller bestämmelsens syfte, inte om en specifik arbetsgivarrättslig relation föreligger.

Förvaltningsrätten i Stockholm biföll därför kommunens överklagande och upphävde länsstyrelsens föreläggande. Länsstyrelsen överklagade i sin tur förvaltningsrättens dom till kammarrätten.

Kammarrättens bedömning

Kammarrätten gick på samma linje som förvaltningsrätten och avslog länsstyrelsens överklagande. Domstolens avgörande vilar på en funktionell tolkningsmodell med tre bärande komponenter.

För det första formulerade kammarrätten kravet så att säkerhetsskyddschefen genom sin placering ska vara organisatoriskt och funktionellt direkt underställd chefen för verksamhetsutövarens verksamhet, på så sätt att säkerhetsskyddschefen ska kunna fullgöra sin funktion och ta det ansvar som lagen föreskriver. Det är alltså inte den formella arbetsrättsliga relationen i sig som avgör, utan huruvida säkerhetsskyddschefen i praktiken kan utföra sitt uppdrag med den valda organisatoriska placeringen.

För det andra slog kammarrätten fast att kravet på att vara direkt underställd kan, men behöver inte, innebära att chefen för verksamhetsutövaren har personalansvar för säkerhetsskyddschefen. Det innebär att en organisation kan välja att förlägga personalansvaret på en annan befattning, så länge verksamhetsansvaret och styrningen av säkerhetsskyddschefens arbete ligger direkt hos den högsta chefen.

För det tredje uttalade kammarrätten att det i frågor som rör säkerhetsskydd inte får finnas några organisatoriska nivåer mellan säkerhetsskyddschefen och verksamhetens högsta chef. Domen öppnar alltså inte för en helt fri organisering – det är fortsatt inte möjligt att placera säkerhetsskyddschefen långt ner i organisationen och förlita sig på att rapporteringsflöden uppåt i hierarkin ska räcka.

Praktiska konsekvenser för verksamhetsutövare

Även om domen är från kammarrätten och inte från Högsta förvaltningsdomstolen innehåller den principer som kan få stor praktisk betydelse för verksamhetsutövare som bedriver säkerhetskänslig verksamhet.

För det första innebär domen att verksamhetsutövare har ett visst organisatoriskt handlingsutrymme. Det är inte nödvändigt att säkerhetsskyddschefen formellt sorterar under den högsta chefen i alla avseenden. En kommun, myndighet eller ett företag kan förlägga personalansvaret på en annan chef, förutsatt att verksamhetsansvaret och resurstilldelningen för säkerhetsskyddschefen ligger direkt hos den högsta chefen. Detta är en välkommen klarläggning för framför allt större organisationer där det är vanligt att personalansvar och verksamhetsansvar är uppdelade på olika befattningar. Detta gäller exempelvis statliga myndigheter och större kommuner, där personalansvar typiskt sett är samlat hos HR- eller administrativa funktioner medan verksamhetsstyrningen följer linjeorganisationen.

För det andra innebär domen att det avgörande är huruvida säkerhetsskyddschefen i praktiken kan fullgöra sitt uppdrag. Den organisatoriska lösningen ska säkerställa att säkerhetsskyddschefen har tillräcklig närhet till den högsta ledningen, tillgång till resurser och möjlighet att agera i säkerhetsskyddsfrågor utan att behöva gå genom mellanliggande chefsled. Det är inte en viss organisatorisk etikett som avgör, utan den faktiska möjligheten att verka i rollen.

För det tredje är det värt att notera att domen inte öppnar för en helt fri organisering. Kammarrättens krav på att det inte får finnas några organisatoriska nivåer mellan säkerhetsskyddschefen och den högsta chefen i säkerhetsskyddsfrågor innebär att säkerhetsskyddschefen måste befinna sig på en nivå som säkerställer direkt dialog med ledningen. Det är således fortsatt inte möjligt att placera säkerhetsskyddschefen långt ner i organisationen.

För verksamhetsutövare innebär detta att organisationsmodellen måste kunna förklaras och försvaras. Om en tillsynsmyndighet ifrågasätter placeringen behöver verksamhetsutövaren kunna påvisa att säkerhetsskyddschefen har direkt tillgång till den högsta chefen i frågor som rör säkerhetsskydd, att resurstilldelningen beslutas av den högsta chefen och att säkerhetsskyddschefen inte är beroende av mellanliggande beslutsled för att fullgöra sitt lagstadgade uppdrag.

Säkerhetsskyddschefens placering hos leverantörer med säkerhetsskyddsavtal

En fråga som kammarrättens dom inte berör, men som naturligen aktualiseras, är vad som gäller för leverantörer som inte själva omfattas av säkerhetsskyddslagen men som genom säkerhetsskyddsavtal deltar i en verksamhetsutövares säkerhetskänsliga verksamhet. Kravet i 2 kap. 7 § tredje stycket säkerhetsskyddslagen på att säkerhetsskyddschefen ska vara "direkt underställd" chefen för verksamhetsutövarens verksamhet riktar sig enligt sin ordalydelse till verksamhetsutövare. För leverantörer kanaliseras säkerhetsskyddskraven i stället genom 4 kap. 8 § säkerhetsskyddslagen, som föreskriver att säkerhetsskyddsavtalet ska innehålla de villkor som behövs för att leverantören ska tillämpa nödvändiga säkerhetsskyddsåtgärder.

I Säkerhetspolisens mallar för säkerhetsskyddsavtal — samtliga tre nivåer — anges i punkt 6 att det ska finnas en säkerhetsskyddschef hos leverantören och att denne ska "ingå eller vara direkt underställd Leverantörens ledning". Formuleringen är alltså inte identisk med lagens. Till skillnad från 2 kap. 7 § säkerhetsskyddslagen, som kräver att säkerhetsskyddschefen ska vara direkt underställd chefen för verksamheten, erbjuder Säpos mallar ett alternativ: säkerhetsskyddschefen kan antingen ingå i eller vara direkt underställd leverantörens ledning. Mallarna anger vidare att kravet på säkerhetsskyddschef inte innebär krav på en självständig befattning utan att rollen kan innehas av någon som har andra arbetsuppgifter.

Denna formulering ger leverantörer en något bredare organisatorisk flexibilitet än vad lagen ger verksamhetsutövare. Det är dock viktigt att inte övertolka detta handlingsutrymme. Att säkerhetsskyddschefen ska "ingå eller vara direkt underställd" ledningen innebär fortfarande att rollen ska finnas på en nivå med direkt koppling till leverantörens högsta beslutsnivå. Samtidigt bör leverantörer vara medvetna om att den verksamhetsutövare som tecknar säkerhetsskyddsavtalet har en skyldighet att följa upp att leverantörens säkerhetsskydd fungerar i praktiken. Det är därför inte otänkbart att en verksamhetsutövare vid uppföljning ställer krav som går längre än vad Säpos standardmall anger, exempelvis att leverantörens säkerhetsskyddschef ska ha direkt tillgång till VD eller motsvarande. I sammanhanget bör även beaktas att en leverantör som genom sina samlade åtaganden gentemot ett stort antal verksamhetsutövare når upp till en viss kritisk massa av skyddsvärden kan komma att betraktas som en självständig verksamhetsutövare, vilket vi redogjorde för i vår tidigare krönika (notera dock att även de domar som berörs i den tidigare krönikan numera har överklagats till högre instans). I det läget aktualiseras lagens fulla krav på säkerhetsskyddschefens organisatoriska placering, inklusive det som kammarrätten nu har klargjort om innebörden av "direkt underställd".

Rekommendationer

Om HFD meddelar prövningstillstånd skulle det innebära att frågan om hur rekvisitet "direkt underställd" ska tolkas prövas i högsta instans, vilket skulle ge ett prejudikat med bindande verkan. Till dess att frågan slutligt avgjorts kvarstår kammarrättens bedömning som det mest auktoritativa uttalandet i rättspraxis om säkerhetsskyddschefens organisatoriska placering. Kammarrättsdomen illustrerar en central princip: säkerhetsskyddslagen ställer krav på reell, inte bara formell, närhet mellan säkerhetsskyddschefen och verksamhetens högsta ledning. För verksamhetsutövare är budskapet tydligt – det är inte organisationsschemat i sig som avgör, utan huruvida säkerhetsskyddschefen i praktiken kan fullgöra det uppdrag som lagen förutser. Vår rekommendation är att verksamhetsutövare redan nu dokumenterar motiveringen till vald placering – inklusive hur direkt tillgång till högsta chefen, resurstilldelning och oberoende från mellanliggande beslutsled är säkerställd – för att kunna möta en framtida tillsyn med trovärdighet.

Sammanfattningsvis ger kammarrättens dom anledning för verksamhetsutövare att se över hur säkerhetsskyddschefen är placerad i organisationen och ställa sig följande frågor:

1. Har säkerhetsskyddschefen en organisatorisk placering som säkerställer direkt tillgång till verksamhetens högsta chef i säkerhetsskyddsfrågor, utan mellanliggande chefsled?

2. Är det den högsta chefen som har verksamhetsansvar för säkerhetsskyddschefen och beslutar om resurstilldelning och prioriteringar för säkerhetsskyddsarbetet?

3. Kan vi vid en eventuell tillsyn dokumentera och visa att den organisatoriska lösningen säkerställer att säkerhetsskyddschefen i praktiken kan fullgöra sitt uppdrag?

För leverantörer som överväger att ingå säkerhetsskyddsavtal är det istället relevant att ställa sig följande frågor:

• Uppfyller vår säkerhetsskyddschefs organisatoriska placering kravet i det tilltänkta säkerhetsskyddsavtalet på att denne ska ingå i eller vara direkt underställd vår ledning — och kan vi visa detta vid en uppföljning från verksamhetsutövaren?
• Har vi beredskap för att våra tilltänkta uppdragsgivare kan ställa krav på säkerhetsskyddschefens placering som går längre än Säpos standardmallar?
• Har vi löpande utvärderat om omfattningen av våra samlade säkerhetsskyddsavtal innebär att vi bör betraktas som en självständig verksamhetsutövare — med de fulla krav på säkerhetsskyddschefens organisatoriska placering som det medför?

Foyen har bred erfarenhet av att arbeta med säkerhetsskyddsfrågor och kan även bistå med stöd i juridiska spörsmål gällande säkerhetsskyddsregelverket. Tveka inte att kontakta oss om du behöver hjälp!