• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Ett år med de nya sanktionerna i säkerhetsskyddslagen – så såg tillsynsarbetet och besluten ut

Den 1 december 2021 skärptes säkerhetsskyddslagen i flera avseenden. Numer kan verksamheter som omfattas av lagen bland annat tvingas betala höga sanktionsavgifter. Samtidigt ändrades formerna för tillsynen, och sammanlagt 13 olika myndigheter fick ansvar för tillsynen inom varsitt eget område.

-

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.

På grund av att den tillsyn som historiskt sett bedrivits varit begränsad och vissa myndigheter inte bedrivit någon tillsyn alls uttalade regeringen i samband med lagändringen att det fanns ett behov av en mer effektiv och likvärdig tillsyn. Efter ett år med de nya bestämmelserna kan det konstateras att så inte riktigt blev fallet.

Viktor Robertson och Sofia Linde, Advokatfirman Kahn Pedersen, har undersökt vad som hände det första året.

I september kontaktade vi alla tillsynsmyndigheter och frågade om de hade inlett något tillsynsärende enligt säkerhetsskyddslagen. Om svaret var ja så undrade vi hur många ärenden som inletts och om något beslut hade meddelats. Därefter ställde vi samma fråga till tillsynsmyndigheterna på nytt i november, två månader senare.

Resultatet visade att nio tillsynsmyndigheter hade inlett minst ett tillsynsärende. Av de fyra tillsynsmyndigheterna som inte inlett något tillsynsärende alls hittar vi bland annat Försvarets materielverk, Finansinspektionen och Strålsäkerhetsmyndigheten. Gemensamt för dessa är att de alla fick sitt tillsynsuppdrag i samband med att lagen skärptes den 1 december 2021. Detta faktum hindrade däremot inte Statens energimyndighet, som också fick sitt uppdrag i december, att inleda så många som totalt 22 tillsynsärenden per november 2022.

Sammantaget kan sägas att frekvensen av tillsynen sett väldigt olika ut, beroende på vilken myndighet som bedrivit den. Denna situation påminner om den som gav upphov till de nya lagändringarna, nämligen att den tillsyn som bedrivs ser olika ut beroende på vilken myndighet som ansvarar för den och att vissa myndigheter inte bedriver någon tillsyn alls.

Utvecklingen över tid – fler beslut är att vänta

Totalt hade samtliga tillsynsmyndigheter inlett 126 tillsynsärenden i november 2022, varav 100 var pågående och 26 var avslutade. I jämförelse med september månads siffror hade antalet ärenden ökat med hela 45 procent.

Av den branta utvecklingskurvan att döma, som ägde rum under bara två månader, bör vi kunna vänta oss en fortsatt ökad trend. Detta dels med hänsyn till det faktum att fyra tillsynsmyndigheter fortfarande inte hade inlett något tillsynsärende i samband med vår granskning, dels att tillsynsmyndigheterna förhoppningsvis blir mer trygga i sin granskning och sitt beslutsfattande i takt med att praxis på rättsområdet blir allt vanligare.

Verksamhetsutövare som omfattas av lagen kan därför förvänta sig att risken för att bli föremål för tillsyn, och i värsta fall någon form av ingripande eller sanktion, numer är större än den varit tidigare.

Innehållen i besluten

Bland de beslut som vi fått ta del av, och som inte varit maskerade till stor del, kan vi konstatera att sanktionsavgift endast tagits ut vid ett tillfälle.

Den vanligaste åtgärden verkar istället vara att meddela förelägganden utan vite. Det har skett i sammanlagt 15 beslut. Föreläggande med vite har förekommit vid ett tillfälle.

Det som tillsynsmyndigheterna slog ner på i sina beslut varierar givetvis, men en brist som uppmärksammats vid upprepade tillfällen är verksamhetsutövarnas säkerhetsskyddsanalys. Tillsynsmyndigheterna har antingen uppmärksammat att den saknas helt och hållet, eller att den befintliga är för gammal och behöver revideras. I de fallen myndigheterna har förelagt verksamhetsutövarna att åtgärda bristen har de oftast fått mellan två och en halv till fyra månader på sig att åtgärda bristen.

Skillnader mellan besluten

I den enskilda situationen när en sanktionsavgift togs ut hade verksamhetsutövaren begått flera olika överträdelser av säkerhetsskyddslagen, bland annat anmälde de sin verksamhet först fyra månader efter det att denna skyldighet trädde ikraft. Ansvarig tillsynsmyndighet var Länsstyrelsen i Skåne.

Den beslutade sanktionsavgiften landade till slut på sju miljoner kronor, vilket är 70 procent av den maximala sanktionsavgiften som verksamhetsutövaren ifråga hade kunnat få eftersom den var ett kommunalförbund. Så höga sanktionsavgifter ska endast tas ut för de allvarligaste överträdelserna, vilket bedömdes vara fallet. Avgiften har därefter kommit att sänkas till sex miljoner, när fallet nyligen prövades av domstol.

Mer tur hade sex olika kommuner i Stockholmsregionen. Ingen av dessa hade anmält att de bedrev säkerhetskänslig verksamhet. Länsstyrelsen i Stockholm bad dem därför att antingen komma in med en analys som visade att de inte bedrev säkerhetskänslig verksamhet, eller anmäla att de gjorde det. Ingen av kommunerna hördes av inom den satta tidsramen.

Istället för att besluta om en sanktionsavgift eller meddela ett föreläggande skickade länsstyrelsen ut en påminnelse. Efter påminnelsen kom samtliga kommuner in med en anmälan om att de bedrev säkerhetskänslig verksamhet. Anmälningar kom in mellan nio och tio månader efter att skyldigheten att anmäla den säkerhetskänsliga verksamheten trätt ikraft den 1 december 2021, och efter att tillsynsmyndigheten både begärt in information och skickat en påminnelse.

Trots detta avslutades samtliga ärenden med ett avskrivningsbeslut. Ingen sanktionsavgift togs alltså ut, trots att en utebliven anmälan är en sådan överträdelse som enligt lagen i ska leda till att en avgift tas ut.

Tillsynen blev mer effektiv – men inte mer likvärdig

Genom vår granskning kan det konstateras att tillsynen blivit mer effektiv, mätt i antalet inledda ärenden. Givet att tillsynsmyndigheternas arbete försätter i åtminstone samma takt som under detta år så kan vi i framtiden förvänta oss att många verksamheter kan bli föremål för tillsyn på ett eller annat sätt.

Viktor Robertson, advokat och Senior Specialist, Advokatfirman Kahn Pedersen

Förutom att det finns skillnader i graden av tillsynsärenden skiljer sig tillsynsmyndigheternas bedömningar i de enskilda fallen åt. Detta är kanske inte så märkligt, dels eftersom tillsynsarbetet är fördelat på så många olika myndigheter, dels för att det bara har gått strax över ett år sedan tillsynsmyndigheterna fick sina utökade befogenheter. Avsaknad av praxis spär även den möjligtvis på skillnaderna, eftersom det inte finns så mycket vägledning att gå på.

Faktum kvarstår däremot att när vissa verksamhetsutövare får betala en sanktionsavgift, kommer andra undan med en påminnelse eller ett föreläggande för samma typ av överträdelser.

Sofia Linde, associate, Advokatfirman Kahn Pedersen

Om skillnaderna består kvarstår det faktum att olika verksamheter behandlas olika, enbart beroende på vilken tillsynsmyndighet de råkar lyda under. En sådan skillnad är inte bara olycklig, utan även rättsosäker.

Vi får med andra ord hoppas på att samordningen av tillsynen ökar, så att det inte i slutändan görs skillnad på vem du är och var i landet verksamheten bedrivs. En sådan utveckling gynnar nämligen varken de enskilda verksamheterna, eller den svenska säkerheten i stort.

REKLAMSAMARBETE

Lådan som förhindrar att mobilen spionerar

Att datorer och laptops måste ha ett bra skydd mot eventuella intrång är något som i dag är en självklarhet för företagens IT-avdelningar. Men...

FLER NYHETER

Forskning om hur smygande kriser kan avvärjas får anslag på 12 miljoner

Forskningsprojektet Unravelling the secrets of crisis detection and decisive action ska svara på varför beslutsfattare inte agerar i tid för att avvärja större samhällskriser,...

REKLAMSAMARBETE

Digital transformation och utvecklingen av nätverkskameran

När den första nätverkskameran togs fram och utvecklades för många år sedan var det knappast ingen som kunde föreställa sig vilken kapacitet och potential...

Omfattande riktad attack mot Outlook – 10 000 försök under kort tid

Detta hela ser ut att vara en fortsättning på en tidigare kampanj från i mars i år, som riktade in sig mot en mängd...

REKLAMSAMARBETE

A proactive approach to cyber and physical security 

When choosing a physical security system, organizations must also consider cybersecurity and the security of their security. This article looks at the importance of...

KOMMENTAR: Avslöjandet om ryska cyberattacker mot brittiska regeringen

En hackergrupp cybersäkerhetsforskare kallad "Cold River", som arbetar på uppdrag av Rysslands federala säkerhetstjänst (FSB), riktade in sig på brittiska politiker, journalister och ideella...

Svenska företag måste hantera allt fler kriser

– Hittills i år har vi sett en ökning med 81 procent när det gäller våra krisinsatser ute på företagen. Det är tydligt att...

REKLAMSAMARBETE

Säkra upp företagets digitala resa med Knowit och SSF

I en tid av konstant förändring, digitalisering och snabb teknologisk utveckling är kunskap om säkerhetslagar och regelverk en kritisk fråga för företag. Ett av...

IT-Total och Sudo i samarbete kring trygg svensk container management

Containers är ett bra sätt för att smidigt rulla ut applikationer och funktioner, oberoende av den underliggande infrastrukturen eller placering i publika och privata moln. För...

REPLIK: ”Allt för många förlitar sig på klassrumsutbildningar”

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.”Det kan vara skrämmande för organisationer att ta itu med cybersäkerhetsrisker” skriver Per Erngård...

Startupen Selma Dynamics ingår partnerskap med MedMera Bank 

– Om kostnaden för cyberbrottslighet mättes som ett land skulle cyberbrottslighet vara världens tredje största ekonomi efter USA och Kina. Det säger en del...

Sverige och USA undertecknar avtal om försvarssamarbete

Avtalet är ett så kallat DCA, Defence Cooperation Agreement, och reglerar bland annat frågor som amerikanska styrkornas rättsliga status, tillgång till baseringsområden samt förhandslagring...

Svenska lärosäten brister i sin hantering av skyddsvärda forskningsdata

Främmande staters underrättelsearbete mot svenska universitet och högskolor har intensifierats under senare år. Behovet av ett effektivt informationssäkerhetsarbete har därmed ökat.Riksrevisionens granskning av de...

Nätfiske som länkar till Adobe InDesign ökar kraftigt

Det dagliga antalet attacker av det här slaget har ökat från cirka 75 meddelanden till cirka 2 000. Nästan en av 10 (9 procent)...

Knowit: Svenska cybersäkerhetsutbildningar lider av flera brister

Undersökningen ISC2-s Workforce Study 2022 estimerar att det internationellt saknas ungefär 3.4 miljoner anställda med cybersäkerhetskunskaper. Därtill säger 70 procent av de organisationer som varit med...

UNDERSÖKNING: Otydliga gränser mellan hem- och kontorsarbete äventyrar IT-säkerheten

Verizon Business presenterar idag sin Mobile Security Index (MSI)-rapport för 2023 – den sjätte i raden av företagets årliga undersökning som kartlägger IT-säkerhetshot mot...

Samarbete ska säkra unga i Helsingborgs digitala värld

– Vi är glada att välkomna Helsingborg Stad som partner i arbetet med att öka säkerheten för unga på nätet. HackShield har visat sig...

Bravida förvärvar låsföretag i Uppsala

Låsservice i Mälardalen är ett auktoriserat låssmedsföretag som innehar nödvändiga gesäll och mästarbrev.– Vi är mycket glada för att Låsservice i Mälardalen blir en...