Miljonsanktioner för brister i säkerhetsskyddsarbetet

Säkerhetsskydd är inte längre något som organisationer kan hantera som en administrativ formalitet eller en dokumentationsfråga som uppdateras vid behov. Flera nya domar visar nu tydligt att brister i det grundläggande säkerhetsskyddsarbetet kan få mycket allvarliga ekonomiska konsekvenser.

I flera uppmärksammade mål från Förvaltningsrätten i Stockholm (mål SM 14-25, SM 21-25 och SM 7-25) utdömdes höga sanktionsavgifter mot två statliga myndigheter och ett bolag. När domarna överklagades valde Kammarrätten i Stockholm i mål SM 1-26, SM 11-25 och SM 12-25 att inte meddela prövningstillstånd. Det innebär att Förvaltningsrättens domar nu står fast och vunnit laga kraft.

Sanktionsavgifter på upp till 11 miljoner kronor

De aktuella verksamhetsutövarna fick sanktionsavgifter om:

•⁠  ⁠4 miljoner kronor
•⁠  ⁠6 miljoner kronor
•⁠  ⁠11 miljoner kronor

Bakgrunden till sanktionerna var bland annat:

•⁠  ⁠utebliven eller sen anmälan av säkerhetskänslig verksamhet,
•⁠  ⁠bristfälliga säkerhetsskyddsanalyser,
•⁠  ⁠samt säkerhetsskyddsarbete som inte uppfyllde kraven i säkerhetsskyddslagstiftningen.

I flera fall konstaterades dessutom att säkerhetsskyddsanalyserna varit kraftigt utdaterade. En analys var över 20 år gammal vid tidpunkten för tillsynen.

Säkerhetsskyddsanalysen måste vara verksamhetsanpassad

Domstolen betonade även att en säkerhetsskyddsanalys inte får vara för generell eller övergripande. I ett av målen ansåg Förvaltningsrätten att analysen varit så pass övergripande att det inte gick att bedöma vilka säkerhetsskyddsåtgärder som faktiskt var nödvändiga och relevanta för verksamheten.

Det är också viktigt att förstå att varje juridisk person har ett eget ansvar för sitt säkerhetsskydd. Ett bolag kan alltså inte förlita sig på en koncernövergripande säkerhetsskyddsanalys utan måste ha en egen analys som är anpassad efter den egna verksamheten, hotbilden och skyddsvärdena.

En tydlig signal till både offentlig och privat sektor

Domarna visar att tillsynsmyndigheterna och domstolarna ställer allt högre krav på:

•⁠  ⁠aktuella säkerhetsskyddsanalyser,
•⁠  ⁠kontinuerligt och dokumenterat säkerhetsskyddsarbete,
•⁠  ⁠korrekt anmälningsplikt,
•⁠  ⁠samt att verksamheter faktiskt kan motivera varför deras säkerhetsskyddsåtgärder är relevanta och proportionerliga.

Det räcker inte längre att ha dokument på plats. Säkerhetsskyddsarbetet måste bedrivas löpande, vara förankrat i verksamheten och kontinuerligt uppdateras utifrån förändrad hotbild och verksamhetsutveckling.

Recways rekommendation

Många verksamheter underskattar fortfarande omfattningen av det ansvar som följer av säkerhetsskyddslagstiftningen. Vår rekommendation är därför att regelbundet:

•⁠  ⁠se över säkerhetsskyddsanalysen,
•⁠  ⁠säkerställa att den är verksamhetsanpassad,
•⁠  ⁠dokumentera säkerhetsskyddsarbetet löpande,
•⁠  ⁠samt säkerställa att organisationen uppfyller anmälningsskyldigheten.

Att arbeta proaktivt med säkerhetsskydd handlar inte bara om regelefterlevnad — det handlar om att skydda verksamheten, samhällsviktiga funktioner och Sveriges säkerhet.