Sedan december 2021 är alla verksamhetsutövare som bedriver säkerhetskänslig verksamhet skyldiga att anmäla detta till sin tillsynsmyndighet. Trots att kravet har funnits i flera år är det fortfarande vanligt att verksamheter missar anmälan, gör den för sent eller är osäkra på om de över huvud taget omfattas. Konsekvenserna kan bli mycket kostsamma — något som flera nyligen avgjorda mål tydligt visar.
Vad anmälningsplikten innebär
Anmälningsplikten regleras i säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2021:955). Den innebär att en verksamhetsutövare som bedriver säkerhetskänslig verksamhet utan dröjsmål ska anmäla detta till den tillsynsmyndighet som ansvarar för verksamhetsområdet. Anmälan ska göras oavsett om verksamheten är offentlig eller privat, och oavsett om verksamheten precis har inletts eller pågått under lång tid.
Verksamhetsutövaren ska också anmäla:
Vem omfattas?
En central poäng är att det är verksamhetsutövaren själv som ansvarar för att bedöma om man bedriver säkerhetskänslig verksamhet. Det är inte tillsynsmyndigheten som pekar ut vilka organisationer som omfattas — bedömningen görs av verksamheten, normalt genom en säkerhetsskyddsanalys.
Säkerhetskänslig verksamhet är verksamhet som har betydelse för Sveriges säkerhet eller omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Det handlar bland annat om verksamheter som hanterar säkerhetsskyddsklassificerade uppgifter, samhällsviktig infrastruktur, försvarsrelaterad verksamhet och vissa former av kritisk leverans till det offentliga.
Tillsynsmyndighet beror på bransch. Säkerhetspolisen är central tillsynsmyndighet och har ansvar för många civila verksamheter, men flera andra myndigheter har tillsyn över specifika sektorer:
Bedriver verksamheten flera typer av säkerhetskänslig aktivitet kan anmälan behöva göras till flera tillsynsmyndigheter parallellt.
När inträder anmälningsplikten?
Anmälan ska göras "utan dröjsmål" så snart verksamhetsutövaren har konstaterat att man bedriver säkerhetskänslig verksamhet. Tidpunkten är alltså kopplad till den interna bedömningen — vanligtvis när säkerhetsskyddsanalysen visar att verksamheten omfattas. Anmälan ska inte vänta tills allt säkerhetsskyddsarbete är på plats eller tills nästa verksamhetsår.
Anmälningsplikten gäller även retroaktivt. Verksamheter som har bedrivit säkerhetskänslig verksamhet sedan före december 2021 utan att ha anmält sig är inte undantagna — de ska anmäla snarast.
Vad händer om anmälan missas?
Att missa anmälningsplikten är inte en formell bagatell. Tillsynsmyndigheten kan besluta om sanktionsavgift, som enligt säkerhetsskyddslagen kan uppgå till mångmiljonbelopp beroende på överträdelsens allvar och verksamhetens omsättning.
Flera av de senaste årens uppmärksammade mål visar att utebliven eller försenad anmälan ofta är en av de centrala grunderna för sanktion. Tillsammans med bristande säkerhetsskyddsanalyser och dokumentationsmissar har det lett till sanktionsavgifter på flera miljoner kronor för både statliga myndigheter och privata bolag.
Utöver sanktionsavgiften innebär en utebliven anmälan att verksamheten inte syns i tillsynsmyndighetens register. Det kan bland annat:
Recways rekommendation
Det är vanligt att verksamheter underskattar både sin egen koppling till Sveriges säkerhet och kraven på anmälan. Vår rekommendation till organisationer som inte är säkra är att:
Anmälningsplikten är en av de mest grundläggande skyldigheterna i säkerhetsskyddslagstiftningen. Att hantera den korrekt kostar relativt lite — att missa den kan bli mycket dyrt.
Olof palmes gata 29 - 111 22 Stockholm
