Idag träder en rad ändringar i säkerhetsskyddslagen ikraft som ställer ökade krav på de aktörer som utövar verksamhet av stor betydelse för Sveriges säkerhet.
Förändringarna har länge eftersträvats av Säkerhetspolisen som uppmärksammat säkerhetsbrister hos verksamhetsutövarna – samtidigt som säkerhetshotet från främmande makt såväl breddats som fördjupats.
– Möjligheten att bedriva kvalitativ tillsyn för att säkerställa att säkerheten är på den nivån den behöver vara är något som vi ser som mycket positivt, säger David Hughes, säkerhetsskyddsexpert på Säkerhetspolisen till Dagens Juridik.
Säkerhetsskyddslagen trädde ikraft den 1 april 2019 och syftar till att skydda säkerhetskänslig verksamhet mot spioneri, terroristbrott och andra brott som kan skada verksamheten. Det rör sig om de aktörer vars uppgifter bedöms vara så känsliga att sådana angrepp riskerar att få allvarliga konsekvenser för Sveriges säkerhet.
– Det handlar dels om hemliga uppgifter, exempelvis bevakningsåtgärder eller uppgifter om totalförsvarsplaneringen. Sedan handlar det om säkerhetskänslig verksamhet i form av sådana verksamheter som är viktiga för samhällets grundläggande funktionalitet. Elförsörjningen är ett konkret exempel på en sektor där det typiskt sett kan bedrivas säkerhetskänslig verksamhet, säger David Hughes, säkerhetsskyddsexpert vid Säkerhetspolisen till Dagens Juridik.
Ökad aktivitet från främmande makt
Idag, den 1 december, träder en rad ändringar i säkerhetsskyddslagen ikraft som innebär ett flertal skärpta krav på de säkerhetskänsliga verksamheterna. Ändringarna innebär bland annat att verksamheterna nu i fler situationer än tidigare måste samråda med sin tillsynsmyndighet, exempelvis Säkerhetspolisen eller Försvarsmakten, inför såväl upphandlingar som avtal eller andra samarbeten som ger externa aktörer tillgång till särskilt skyddsvärd information eller verksamhet.
Lagändringarna välkomnas av Säkerhetspolisen som under en längre tid har drivit på för att få igenom dessa då man sett ett ökat säkerhetshot.
– Det finns flera skäl till att vi ser förändringarna som viktiga. Det ena är samhällsutvecklingen med en ökad digitalisering där vi ser att skyddsvärda verksamheter inte längre enbart bedrivs i statlig regi, utan även av privata aktörer. Den andra delen är det vi pekar på, och har pekat på under en tid, en ökad aktivitet och ett högre säkerhetshot mot Sverige från främmande makt bland annat, säger David Hughes.
– Dessa saker tillsammans gör att behovet av säkerhetsskydd för verksamheter som är av betydelse för Sveriges säkerhet har ökat.
Inte rätt att förbjuda outsourcing
Lagändringarna ger också tillsynsmyndigheterna möjlighet att ta ut sanktionsavgifter om en verksamhetsutövare åsidosatt en central lagstadgad skyldighet. En sådan avgift kan exempelvis tas ut om verksamhetsutövaren inte samrått med sin tillsynsmyndighet innan man ingår ett avtal med en extern aktör.
– Signalvärdet av att få en sådan avgift riktad mot sig som verksamhetsutövare, oavsett sanktionsavgiftens storlek, spelar roll givet att det är Sveriges säkerhet vi pratar om, säger David Hughes – som också pekar på vikten av att ett utökat ansvar nu kommer att läggas på verksamheternas säkerhetsskyddschefer.
– Dessa ska numera vara direkt underställda verksamhetens ledning och är en viktig del av den här förändringen. Detta eftersom det handlar om att säkerställa att den som har ansvar för skyddet av den säkerhetskänsliga verksamheten sitter med där strategiska beslut fattas och därför kan vara med innan man fattar stora beslut som att outsourca en verksamhet eller att överlåta delar av densamma. Genom lagändringen säkerställs att den personen kommer med väldigt tidigt i den typen av processer.
Om verksamheten nu är så pass säkerhetskänslig – varför förbjuder man inte outsourcing?
– Det finns en möjlighet för tillsynsmyndigheten att helt förbjuda en outsourcing om vi ser att skyddsvärdet är för högt och det av någon anledning är olämpligt att outsourca verksamheten.
Hotet har ”breddats och fördjupats”
Enligt David Hughes har säkerhetshotet både ”breddats och fördjupats” och han beskriver hur det förekommer inhämtningsförsök mot mer eller mindre alla typer av verksamheter. Att myndigheten nu ges i uppdrag att både sköta den operativa tillsynen, men också följa upp och utvärdera den över tid, ser han därför som positivt.
– Lagändringarna innebär att en ny tillsynsstruktur introduceras där Säkerhetspolisen och Försvarsmakten bedriver operativ tillsyn över ett antal utpekade myndigheter medan övriga tillsynsmyndigheter främst ansvarar för tillsyn över privata bolag som bedriver säkerhetskänslig verksamhet. Vår och Försvarsmaktens roll är att dels bedriva egen tillsyn av de utpekade myndigheterna och dessutom agera samordnande myndigheter där vi har till uppdrag att följa upp, utvärdera och säkerställa tillsynen över tid.
– Säkerhetspolisens grunduppdrag är att som säkerhetstjänst skydda Sveriges säkerhet och detta är sådan verksamhet som inte bara bedrivs av oss, utan av många verksamheter ute i landet. Möjligheten att bedriva kvalitativ tillsyn för att säkerställa att säkerhetsskyddet håller den nivån det behöver vara och mandat att agera när det inte gör det är något vi välkomnar. Vi ser detta som en möjlighet för oss som tillsynsmyndighet att åstadkomma rättelse, men också att själva lagstiftningen ställer högre krav på de som bedriver den här typen av verksamhet, säger David Hughes, säkerhetsskyddsexpert vid Säkerhetspolisen.
