Vad innebär kompletteringarna till säkerhetsskyddslagen för säkerhetskänsliga verksamheter? (Del 2)
För några veckor sedan kom det som vi i säkerhetsskyddskretsar väntat så länge på; regeringens förslag med kompletteringar till säkerhetsskyddslagen. Lagrådsremissen innehåller en rad nya krav på verksamhetsutövarna i kombination med större möjligheter för tillsynsmyndigheterna att agera mot de som inte lever upp till kraven.
Regeringen har lagt fram förslag på förändringar i fyra huvudsakliga delar. Jag sammanfattar i två blogginlägg huvuddragen i förslagen och passar också på att erbjuda några reflektioner. Här följer den andra av två delar, i vilken jag går igenom förslagen som rör dels förstärkningen av säkerhetsskyddschefens roll, dels förändrad tillsynsstruktur, tillsynsmyndigheternas utökade befogenheter och ett nytt sanktionssystem.
Del ett av inlägget hittar du här.
3. Förstärkning av säkerhetsskyddschefens funktion genom krav på organisatorisk placering och utökat ansvar
Redan idag finns krav på att säkerhetsskyddschefen i statliga myndigheter, regioner och kommuner organisatoriskt är direkt underställd verksamhetsutövarens chef. I praktiken innebär det att funktionen ska vara placerad direkt under generaldirektören, regiondirektören eller kommundirektören. Regeringen föreslår nu att motsvarande krav ska gälla i samtliga säkerhetskänsliga verksamheter. Syftet är bl.a. att säkerställa att säkerhetsskyddsfrågorna integreras i den dagliga verksamheten och att en tillräckligt bra kommunikation uppnås mellan säkerhetsfunktionen och verksamhetens ledning för att säkerhetsskyddsfrågorna ska få den uppmärksamhet de förtjänar. Den centrala placeringen av säkerhetsskyddschefen ska också möjliggöra för denne att få en helhetsbild av verksamhetens skyddsvärden, vilket regeringen anser är en förutsättning för att det interna säkerhetsskyddsarbetet ska lyckas. Därutöver vill man utöka säkerhetsskyddschefens ansvar till att, vid sidan om redan existerande uppgift att kontrollera säkerhetsskyddet, uttryckligen också omfatta ledning och samordning av säkerhetsskyddsarbetet. I praktiken innebär det ansvar för att utforma och upprätthålla ett väl dimensionerat säkerhetsskydd. Ansvaret ska i samtliga tre delar vara omöjligt att delegera.
Personliga reflektioner
Att regeringen genom sina förslag trycker på vikten av ett systematiskt säkerhetsskyddsarbete är mycket positivt. I takt med att vår nationella försvarsförmåga nedmonterades, hamnade även säkerhetsskyddsfrågorna allt längre ifrån rampljuset. Sedan ett tiotal år tillbaka har området stadigt fått ökad uppmärksamhet och betydelse, men det är fortfarande alltför ofta som det i praktiken är svårt för säkerhetsorganisationen med säkerhetsskyddschefen i spetsen att få gehör och prioritet för frågorna. Utan rätt förutsättningar vad gäller organisation och mandat är risken att säkerhetsskyddet av ledningen betraktas som ett nödvändigt ont, utan förankring eller integration i det vardagliga arbetet. Att stärka säkerhetsskyddschefens roll skapar bättre förutsättningar att faktiskt lyckas med att utveckla och bibehålla ett systematiskt och väl anpassat säkerhetsskydd.
4. Tillsynsmyndigheterna får utökade befogenheter i samband med tillsyn samt möjlighet att besluta om vitesföreläggande och sanktionsavgift mot den som inte följer säkerhetsskyddslagstiftningens krav.
Den sista huvudpunkten handlar om generellt utökade befogenheter för tillsynsmyndigheterna att agera mot säkerhetskänsliga verksamheter och deras motparter, men också om en i grunden förändrad tillsynsstruktur.
Tillsynsstruktur
Säkerhetspolisen och Försvarsmakten pekas ut som samordningsmyndigheter bland tillsynsmyndigheterna, och får till uppdrag att följa upp, utvärdera och utveckla tillsynsarbetet på säkerhetsskyddsområdet. Målet är att åstadkomma en effektiv och enhetlig tillsyn samt att höja tillsynskompetensen bland tillsynsmyndigheterna. Tillsynen bör enligt regeringen ändra karaktär från i huvudsak rådgivande och stödjande verksamhet till tillsyn i mer traditionell mening. Samtidigt understryker regeringen att tillsynsmyndigheterna fortfarande har en viktig uppgift i att stötta verksamhetsutövare i säkerhetsskyddsarbetet genom generell vägledning om hur lagstiftningen ska tolkas och användbara metoder för att uppfylla kraven.
Närmare utpekande av tillsynsmyndigheter kommer regeringen att erbjuda genom förordningsändringar, men av det regeringsuppdrag som gått ut till Säkerhetspolisen och Försvarsmakten (Ju2021/01245, Uppdrag till Försvarsmakten och Säkerhetspolisen att vidta åtgärder inför etableringen av ett nytt tillsynssystem inom säkerhetsskyddsområdet) framgår att det vid sidan av Säkerhetspolisen och Försvarsmakten blir de myndigheter som utredningen från 2018 pekade ut; Affärsverket svenska kraftnät, Finansinspektionen, Försvarets materielverk, Länsstyrelsen i Norrbottens län, Länsstyrelsen i Skåne län, Länsstyrelsen i Stockholms län, Länsstyrelsen i Västra Götalands län, Post- och telestyrelsen, Statens energimyndighet, Strålsäkerhetsmyndigheten och Transportstyrelsen. Vissa är redan tillsynsmyndigheter under dagens regelverk men får utökade tillsynsområden och för andra är uppdraget helt nytt. Nytt för samtliga är de utökade befogenheter och möjlighet att ingripa som regeringen nu också föreslår.
Anmälningsplikt och undersökningsbefogenheter
För att möjliggöra för tillsynsmyndigheterna att få en uppfattning om vilka verksamheter som finns inom tillsynsansvaret, införs en skyldighet för samtliga verksamhetsutövare som bedriver säkerhetskänslig verksamhet att anmäla detta till sin tillsynsmyndighet.
Idag saknar tillsynsmyndigheterna möjlighet att kräva tillgång till information och lokaler för genomförande av tillsyn. Säger ett tillsynsobjekt nej, finns därför inga påtryckningsmedel att ta till. Genom det nya förslaget blir den som står under tillsyn skyldig att på begäran ge tillsynsmyndigheten den information som behövs för tillsynen. Tillsynsmyndigheten får också rätt att i den omfattning det behövs för tillsynen bereda sig tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn. I de fall det behövs får myndigheterna utfärda vitesförelägganden för tillgång till information och lokaler.
Vitesförelägganden och sanktioner
Vid sidan av utökade befogenhet i samband med tillsyn, föreslår regeringen också införande av ett system med vitesförelägganden och sanktioner för situationer där verksamhetsutövare åsidosatt en central skyldighet under säkerhetsskyddsregelverket, inlett ett förfarande eller genomfört en överlåtelse i strid med ett förbud eller lämnat oriktiga uppgifter i samband med samråd eller tillsyn. En sanktionsavgift ska dessutom kunna tas ut vid felaktigt agerande i samband med överlåtelse av säkerhetskänslig verksamhet eller samråd inför sådan överlåtelse. Sanktionssystemet ska bygga på strikt ansvar, det ska med andra ord kunna räcka att tillsynsmyndigheten konstaterar att en bestämmelse har överträtts för att sanktion ska kunna dömas ut. Det ska emellertid inte vara obligatoriskt för tillsynsmyndigheterna att faktiskt ta ut sanktionsavgift i samtliga fall då det är möjligt, utan en bedömning i varje enskilt fall bör göras.
Sanktionsavgiftens storlek har höjts i förhållande till vad utredningen föreslog och ska bestämmas till lägst 25 000 kronor och högst 50 miljoner kronor. För statliga myndigheter, kommuner och regioner är maxgränsen i stället satt till 10 miljoner kronor. Omständigheter av betydelse vid bedömningen av om sanktionsavgift ska tas ut och hur stor denna ska vara, är bl.a. den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen, om överträdelsen varit uppsåtlig eller berott på oaktsamhet, vad verksamhetsutövaren eller aktie- eller andelsägaren har gjort för att överträdelsen ska upphöra och för att begränsa dess verkningar, om verksamhetsutövaren eller aktie- eller andelsägaren tidigare har begått en överträdelse samt den vinst som den avgiftsskyldige har gjort till följd av överträdelsen. Sanktionsavgiften ska få sättas ned, helt eller delvis, om överträdelsen är ringa eller ursäktlig eller om det annars med hänsyn till omständigheterna skulle vara oskäligt att ta ut avgiften.
Tillsynsmyndighetens beslut om föreläggande under samråd eller vid tillsyn samt om sanktionsavgift ska få överklagas till Förvaltningsrätten i Stockholm.
Personliga reflektioner
För att kunna övergå till en mer traditionell tillsyn är det absolut nödvändigt att tillsynsmyndigheterna ges större befogenheter. Det är egentligen något som skulle ha behövts för länge sedan. Jag har själv varit med om att tillsynsobjekt nekat tillsynsmyndigheten såväl tillgång till information som tillträde till lokaler, och att som tillsynsmyndighet i en sådan situation inte ha något att sätta emot är naturligtvis både frustrerande och skadligt för hela systemet. I denna del är förändringarna således mycket välkomna.
Även det föreslagna sanktionssystemet anser jag i grunden är positivt. Självklart behöver krav som syftar till att skydda det mest skyddsvärda i samhället vara förenade med någon form av påföljd vid överträdelser. Det är även positivt att regeringen ökat på det av utredningen föreslagna maxbeloppet från 10 till 50 miljoner för privata verksamhetsutövare. Frågan är bara om det är tillräckligt. För många vinstdrivande verksamheter är 50 miljoner fortfarande en relativt låg summa och kan ses som ett billigt pris att betala för att åsidosätta sin skyldighet att på ett adekvat sätt skydda kritisk infrastruktur eller andra delar i samhället som rör Sveriges säkerhet. Jämfört med de nivåer på sanktioner som verksamheter riskerar vid överträdelser av EU:s dataskyddsförordning (GDPR), släpar nivån fortfarande en bra bit efter. Vid åsidosättande av de krav som gäller under GDPR kan sanktioner tas ut med 10 miljoner euro eller två procent av den totala globala årsomsättningen (beroende på vilket belopp som är högst) för mindre allvarliga överträdelser och 20 miljoner euro eller fyra procent av den totala globala årsomsättningen för allvarligare överträdelser.
Dataskyddsförordningen skyddar i grunden den personliga integriteten. Med hänsyn till de skyddsvärden säkerhetsskyddslagen är satt att skydda, d.v.s. fortlevnaden av ett oberoende Sverige, anser jag inte att nivåerna på sanktioner i förslaget står i paritet. Samtidigt innebär införandet av ett sanktionssystem bara det en stor förändring på området och jag väljer att se detta som ett första steg. Det kommer att bli mycket intressant att följa utvecklingen om det blir verklighet, och vi får sannolikt anledning att återkomma till frågan om beloppsstorleken när sanktioner väl börjar delas ut av tillsynsmyndigheterna.
Personligen hade jag vid sidan av sanktioner också gärna sett ett system med straffbestämmelser under säkerhetsskyddslagen, där den högsta ledningen hos verksamhetsutövare riskerade personligt straffansvar för allvarliga åsidosättanden av lagens krav. Redan idag finns ett antal brott i brottsbalken (BrB) som kan aktualiseras vid överträdelser av säkerhetsskyddslagstiftningen, såsom obehörig befattning med hemlig uppgift, grov obehörig befattning med hemlig uppgift eller vårdslöshet med hemlig uppgift enligt 19 kap. 7, 8 eller 9 § BrB och brott mot tystnadsplikten enligt 20 kap. 3 § BrB (enligt 5 kap. 2 § första stycket säkerhetsskyddslagen gäller det även för enskilda verksamhetsutövare). Ingen av dessa straffbestämmelser tar emellertid sikte på situationer där de ytterst ansvariga för en säkerhetskänslig verksamhet underlåter att säkerställa att verksamheten bidrar till skyddet av Sveriges säkerhet.
I brist på sanktionsbelopp kopplade till omsättning tror jag att en lösning med ett personligt straffansvar för den yttersta ledningen (eventuellt med möjlighet att delegera nedåt i organisationen där straffansvaret följer med, jämförbart med arbetsmiljöansvar) är det som behövs för att vi ska slippa se fler exempel på verksamheter som, medvetet eller av vårdslöshet, misslyckas med att skydda den del av Sveriges säkerhet som verksamheten ansvarar för. Men det kanske är att gapa efter för mycket. Regeringens förslag innehåller som sagt i övrigt en rad viktiga förflyttningar som jag verkligen välkomnar. Jag konstaterar därför avslutningsvis att det blir allt jobbigare att vara en verksamhetsutövare med säkerhetskänslig verksamhet i avsaknad av ett systematiskt säkerhetsskyddsarbete.
Vill du redan nu veta mer om hur din verksamhet kan komma att påverkas av regeringens förslag till kompletteringar i säkerhetsskyddslagen? Kontakta mig på marie.sjoberg@knowit,se, så bokar vi in ett möte.