• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

Sanktionsavgifter enligt säkerhetsskyddslagen

Juristen Malin Arentoft från Arentoft Säkerhetsskydd AB har begärt ut uppgifter från Förvaltningsrätten i Stockholm om domstolens samtliga pågående eller avslutade mål som gäller sanktionsavgift enligt säkerhetsskyddslagen. Nedan ges första delen av två ur sammanfattningen av dessa mål samt hennes kommentarer till respektive ärende.

-

Det här är en opinionstext. Åsikter som uttrycks är skribenternas egna.

Sammanfattning 

Den 1 december 2021 infördes nya bestämmelser i säkerhetsskyddslagen, vilka gav tillsynsmyndigheterna mandat att ta ut administrativa sanktionsavgifter av verksamhetsutövare som inte uppfyller de väsentliga skyldigheterna i säkerhetsskyddslagstiftningen. En sanktionsavgift får endast beslutas för överträdelser som skett efter ikraftträdandet av bestämmelserna. Beloppsintervallen ligger mellan 25 000 kr och 50 000 000 kr, men för statliga myndigheter, kommuner och regioner gäller maxbeloppet 10 000 000 kr. 

Ett beslut om sanktionsavgift kan överklagas till Förvaltningsrätten i Stockholm. Förvaltningsrättens dom kan överklagas till kammarrätten men kräver prövningstillstånd. Överklagande av kammarrättens dom förutsätter prövningstillstånd i Högsta förvaltningsdomstolen. 

Jag har begärt ut uppgifter från Förvaltningsrätten i Stockholm om domstolens samtliga pågående eller avslutade mål som gäller sanktionsavgift enligt säkerhetsskyddslagen. I det följande ges en sammanfattning av dessa mål samt mina kommentarer till respektive ärende. Sammanställningen är uppdaterad till och med september 20231

VA SYD2

I april 2022 inledde Länsstyrelsen i Skåne tillsyn mot kommunalförbundet VA SYD, som levererar dricksvatten till drygt en halv miljon invånare i Skåne. Länsstyrelsen ansåg att VA SYD hade åsidosatt ett flertal skyldigheter enligt säkerhetsskyddslagen. Överträdelserna bestod i underlåtenhet att anmäla säkerhetskänslig verksamhet, att ha en säkerhetsskyddschef, att ha en uppdaterad säkerhetsskyddsanalys, att ha en dokumenterad systematisk uppföljning av säkerhetsskyddsarbetet samt att genomföra säkerhetsprövning av personer som ska delta i säkerhetskänslig verksamhet. Den bristande säkerhetsprövningen avsåg ett sjuttiotal anställda samt ett fåtal personer från leverantörer. Länsstyrelsen bedömde att VA SYD hade orsakat en betydande sårbarhet för Sveriges säkerhet som skulle kunnat leda till mycket allvarliga konsekvenser. Då överträdelserna bedömdes som mycket allvarliga bestämdes sanktionsavgiften till 7 000 000 kr (av maxbeloppet 10 000 000 kr som gäller för kommunalförbund). 

Beslutet överklagades till Förvaltningsrätten i Stockholm, som fann att överträdelserna inte kunde betraktas som annat än omfattande och allvarliga, vilka gett upphov till en betydande sårbarhet för Sveriges säkerhet. Sanktionsavgiften sänktes till 6 000 000 kr, bland annat med hänsyn till att överträdelserna hade pågått under kort tid (tre-fyra månader sedan ikraftträdandet av sanktionsbestämmelserna). 

Kammarrätten i Stockholm meddelade prövningstillstånd. Av domskälen framgår att VA SYD hade uppdaterat sin säkerhetsskyddsanalys efter förvaltningsrättens dom, där man identifierat ett antal befattningar med åtkomst till bl.a. säkerhetsskyddsklassificerade uppgifter. För samtliga befattningar avsåg åtkomsten begränsat hemliga uppgifter i ringa omfattning med konsekvensnivån ringa skada för Sveriges säkerhet. Befattningarna hade placerats i säkerhetsklass 3. 

Kammarrätten framhöll att säkerhetsskyddet för dricksvattenförsörjningen är av central betydelse för Sveriges säkerhet och att sårbarheter i denna försörjning kan ge upphov till stor skada för samhället. Den bristande säkerhetsprövningen avsåg ett relativt stort antal personer, men avsåg å andra sidan den lägsta säkerhetsklassen. De sanktionsgrundande överträdelserna hade dessutom pågått under en förhållandevis kort tid. Sammanfattningsvis bedömdes att en sårbarhet för Sveriges säkerhet hade uppstått men att denna inte, till skillnad från vad länsstyrelsen och förvaltningsrätten ansett, kunde betraktas som betydande. Med hänsyn till att ett flertal skyldigheter enligt säkerhetsskyddslagen åsidosatts och avsaknaden av tillräcklig aktivitet från ledningens sida, fann kammarrätten att VA SYD hade agerat grovt oaktsamt. Dessa omständigheter motiverade en hög sanktionsavgift, men det var inte fråga om en sådan allvarlig överträdelse att den övre halvan av beloppsintervallet kom i fråga. Sanktionsavgiften bestämdes till 3 000 000 kr. 

Kammarrättens dom har överklagats till Högsta förvaltningsdomstolen av båda parter3

Kommentar 

VA SYD är hittills det enda fall av sanktionsavgift som prövats i domstol, dessutom i två instanser. Att kammarrätten halverade det sanktionsbelopp som förvaltningsrätten dömt ut borde väga tungt för framtida beslut av tillsynsmyndigheterna. I domen hänvisas till uttalandet i förarbetena om att den övre halvan av beloppsintervallet endast bör komma i fråga för mycket allvarliga överträdelser4, varefter kammarrätten fastslår att ett grovt oaktsamt agerande i förhållande till ett flertal centrala skyldigheter inte når upp till denna nivå. 

Värt att notera är att VA SYD anges ha uppdaterat sin befattningsanalys och kommit fram till att ett antal befattningar har åtkomst till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen begränsat hemlig i ringa omfattning (konsekvensnivå ringa skada). Samtliga dessa befattningar har placerats i säkerhetsklass 3. Denna säkerhetsklass avser emellertid den som får del av uppgifter i säkerhetsskyddsklassen konfidentiell, som i ringa omfattning får del av uppgifter i säkerhetsskyddsklassen hemlig, eller som till följd av sitt deltagande i verksamheten har möjlighet att orsaka skada som inte är obetydlig för Sveriges säkerhet. Utifrån uppgifterna i domen synes det därför som att VA SYD har placerat befattningar i säkerhetsklass 3 utan stöd i lagstiftningen. Dessa befattningar skulle rätteligen vara föremål för säkerhetsprövning utan placering i säkerhetsklass (på grund av sin åtkomst till begränsat hemliga uppgifter). Förutom att placering i säkerhetsklass ska användas med restriktivitet, bland annat på grund av det integritetsintrång som följer med en registerkontroll, skulle kammarrätten möjligen skulle ha gjort en mildare bedömning om de aktuella befattningarna inte varit placerade i säkerhetsklass. 

Telenor Sverige AB5 

I april 2022 inledde Post- och telestyrelsen (PTS) tillsyn över Telenors säkerhetsskydd, där det framkom att Telenor inte hade ansökt om placering i säkerhetsklass för vissa befattningar som enligt bolagets säkerhetsskyddsanalys skulle vara placerade i säkerhetsklass 3. 

PTS konstaterade att 24 personer, däribland säkerhetsskyddschefen, under i vart fall åtta månader hade varit verksamma i Telenors säkerhetskänsliga verksamhet utan att vara behöriga. Telenor ansågs genom överträdelsen av bestämmelserna om säkerhetsprövning ha orsakat en sårbarhet för Sveriges säkerhet som hade kunnat leda till en inte obetydlig skada för Sveriges säkerhet. Att andra aktörer hade genomfört säkerhetsprövning inklusive registerkontroll avseende de aktuella personerna medförde ingen annan bedömning. Sanktionsavgiften bestämdes till 12 500 000 miljoner kr. 

Telenor har överklagat beslutet och gör gällande att det i efterhand har visat sig att Telenor gjort en alltför extensiv tolkning i sin säkerhetsskyddsanalys och att ingen av de aktuella befattningarna rätteligen skulle ha placerats i säkerhetsklass. 

Kommentar 

Ansvaret för bedömningarna i säkerhetsskyddsanalysen och att vidta de säkerhetsskyddsåtgärder som motiveras av analysen åvilar verksamhetsutövaren. Det är således verksamhetsutövaren som i sin befattningsanalys ska avgöra vilka befattningar som ska placeras i säkerhetsklass, varefter en ansökan om sådan placering ska tillsändas tillsynsmyndigheten. I detta fall grundas sanktionsbeslutet på en formellt konstaterbar överträdelse – att Telenor inte har ansökt om registerkontroller i enlighet med bolagets egen befattningsanalys – men frågan är om det även finns utrymme för en materiell prövning av analysen som sådan. Telenor menar att bolagets egen analys är felaktig och att det inte funnits grund för placering i säkerhetsklass. Om så skulle vara fallet har det följaktligen inte funnits lagstöd för någon registerkontroll. Kan då verksamhetsutövaren ändå åläggas en straffliknande sanktionsavgift för underlåtenhet att fullfölja sin oriktiga analys? 

Malin Arentoft, jurist

Man kan även tänka sig ett exempel med en motsatt situation, d.v.s. att verksamhetsutövaren har undervärderat en befattnings åtkomst/skadepotential och därmed underlåtit att ansöka om placering i säkerhetsklass trots att så borde vara fallet. I ett sådant exempel skulle det krävas en materiell prövning av tillsynsmyndigheten för att kunna fastslå en underlåtenhet att vidta personalsäkerhetsåtgärder. Såvitt känt finns hittills ingen sanktionsavgift som har meddelats på grund av bristande analys eller kvalitet i säkerhetsskyddsarbetet, men det är en intressant fråga om det endast ska vara de formellt konstaterbara säkerhetsskyddsåtgärderna som ska vara avgörande och inte dess innehåll eller utförande. 

Resterande ärenden som ingår i denna sammanfattning publiceras på torsdag den 5 oktober.

  1. Notera att det kan finnas sanktionsbeslut som har beslutats av tillsynsmyndigheterna men som inte har överklagats till förvaltningsrätten. ↩︎
  2. Länsstyrelsen i Skåne läns beslut 2022-05-02 i ärende 451-12458-2022, Förvaltningsrätten i Stockholms dom 2022-11-18 i mål nr 12373-22, Kammarrätten i Stockholms dom 2023-05-31 i mål nr 7209-22, överklagad till Högsta Förvaltningsdomstolen, mål nr 3934-23. ↩︎
  3. Länsstyrelsen har i första hand yrkat att målet återförvisas till kammarrätten eftersom domen har meddelats utan att domstolen tagit del av länsstyrelsens inskickade yttrande i målet. ↩︎
  4. Prop. 2020/21:194 s. 106. ↩︎
  5. Post- och telestyrelsens beslut 2023-02-16 i ärende 22–11253, överklagat till Förvaltningsrätten i Stockholm, mål nr SM 1-23. ↩︎

REKLAMSAMARBETE

Så övertygar du ledningen om att investera i informationssäkerhet

NIS2 och DORA på allas säkerhetsagendorDe senaste åren har behovet av bättre säkerhetslagstiftning ökat och nya regler trätt i kraft. Sedan 2018 gäller t.ex....

FLER NYHETER

UNDERSÖKNING: Sju av tio organisationer har allvarliga brister i sitt säkerhetsarbete

Cybersäkerhetsnivån i samhället måste förbättras. Omvärldsläget och den senaste tidens it-incidenter som fått stora konsekvenser för en rad organisationer aktualiserar vikten av ökad förändringstakt....

REKLAMSAMARBETE

”Att skilja sant från falskt kan vara svårt”

Varför gör ni det här?– Att skilja sant från falsk kan vara svårt. Vi har sett i vår undersökning Svenskarna och internet att många internetanvändare...

Möjliggörare på arbetsplatser eftertraktade av kriminella nätverk

En möjliggörare är en person som missbrukar sin anställning eller sitt uppdrag i kommunal, statlig eller privat sektor för att hjälpa kriminella nätverk. Den...

REKLAMSAMARBETE

It-branschen måste prioritera säkra system före snabba pengar

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.I takt med digitaliseringens utveckling har situationen blivit mer komplex och därmed har också...

Hon går från MSB till gd på Kyrkostyrelsen

Camilla Asp har de senaste åren arbetat på MSB, senast som överdirektör. Hon blir nu Svenska kyrkans högsta tjänsteperson och kommer leda arbetet på...

REKLAMSAMARBETE

RAPPORT: Så tänker svenska företag kring AI-investeringar

Rapporten Unlocking Ambitions tar avstamp i de mål som EU-kommissionen tagit fram inom ramen för initiativet Digital Decade, som består av ett antal policies...

Safeteam i avtal med Wallenstam i Göteborg och Stockholm

SafeTeam i Göteborg blir leverantör till Wallenstam gällande installation och service av lås, passersystem och dörrautomatik. I Stockholm blir Safeteam en av Wallenstams leverantörer...

Webbaserad nanoutbildning om välfärdsbrott för anställda i kommuner och regioner

Under senare år har problemen med välfärdsbrott riktade mot kommuner och regioner uppmärksammats i allt större utsträckning. Det handlar bland annat om bidragsbrott och...

UNDERSÖKNING: Så säkra och hållbara är Sveriges arbetsplatser

– Svenska medarbetare känner sig inte helt säkra på sina arbetsplatser idag och här ser vi tydligt att det finns mycket kvar att göra,...

F5 lanserar ny säkerhetslösning mot AI-drivna säkerhetshot

– Företag står redan inför en säkerhetssituation med hög komplexitet och hotbilder som snabbt förändras. Det ökade trycket på att säkra och leverera AI-tjänster...

Truesec och Onemore Secure inleder samarbete

Onemore Secure tillhandahåller en tjänst för verksamheter som säkrar upp leverantörskedjan. Detta genom att automatisera kontroller och uppföljningar av leverantörers cyberhygien under hela avtalstiden.–...

Säkerhetsprofil tar plats i Sidas styrelse

Magnus Ranstorp är forskningsledare och docent vid Centrum för totalförsvar och samhällets säkerhet på Försvarshögskolan.– Magnus har enormt lång erfarenhet av säkerhetspolitiska frågor. I...

Den nya hotbilden kräver en närmast fanatisk inställning till säkerhetsuppdateringar

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Talos som är ett av världens största hotintelligens företag lyfter i sin årsrapport för...

”Det blir en win-win lösning”

– I appen kan vi skicka ut nyheter, events och information till våra medlemmar på ett smidigt sätt, och dessutom hålla informationen uppdaterad. Vi har som...

Monitorer ska förhindra svinn i självskanningskassor

– Att kunderna ser sig själva på synliga monitorer påminner dem om övervakningen, vilket i sin tur ger dem en känsla av självmedvetenhet och...