Aktuella Byggen 1
juridik Mathias Kågell-Landgren, biträdande juris
t på Foyen Advokatfirma. En utvidgad säkerhetsskydd Den första säkerhetsskyddslagen trädde i kraft i mitten av 90-talet. Sedan dess har samhället förändrats avsevärt. Det internationella samarbetet har ökat, omfattande avregleringar har genomförts men framför allt har digitaliseringen förändrat vårt samhälle i grunden. Dessa nya förutsättningar har såklart medfört nya och annorlunda hotbilder mot verksamheter av betydelse för Sveriges säkerhet. Först 2017 tillsattes en utredare för att se över regelverket för att modernisera säkerhetsskyddslagstiftningen, men utredningen hade knappt påbörjat arbetet förrän Transportstyrelsens IT-upphandling blev en stor nyhet. Transportstyrelsen hade genom att outsourca skyddsvärda IT-system överfört sekretessbelagda uppgifter till utlandet. Utredningen kompletterades med nya direktiv för att se till att samma sak inte skulle kunna hända igen. ÖKAD RISK FÖR UTLÄNDSKA UPPKÖP Som vi konstaterade i den tidigare artikeln Nya regler kring överlåtelser av säkerhetskänslig verksamhet [Aktuella Byggen nr 2, 2021] har det i kölvattnet av pandemin identifierats en ökad risk för att företag som bedriver säkerhetskänslig verksamhet kan bli föremål för utländska uppköp och investeringar. Pandemin satte också vårt behov av digitala lösningar i blixtbelysning. Så vad innebär den nya säkerhetsskyddslagstiftningen egentligen? 164 AKTUELLA BYGGEN NR 2 | 2022 Den nya lagstiftningen trädde i kraft den 1 december 2021 och innebär bland annat att: • Alla som till någon del bedriver säkerhetskänslig verksamhet omfattas av lagen. Det kan alltså röra sig om såväl offentliga aktörer som enskilda verksamheter i samhällsviktiga sektorer. • Säkerhetsskyddschefer ska finnas i alla sådana verksamheter. • Säkerhetsskyddsavtal måste slutas tidigt i alla förfaranden där externa parter är involverade. • Verksamhetsutövare åläggs ett långtgående ansvar. • Tillsynsmyndigheten kan förbjuda samarbeten samt meddela viten och sanktioner mot verksamhetsutövare som inte följer reglerna. Den första frågan som man bör ställa sig är således – driver jag till någon del säkerhetskänslig verksamhet? Lagen har nämligen utvidgats till att träffa alla (oavsett organisationsform) som till någon del bedriver säkerhetskänslig verksamhet. Tidigare träffade bestämmelsen i princip bara den som i huvudsak bedrev säkerhetskänslig verksamhet. Den som till någon del bedriver säkerhetskänslig verksamhet kallas verksamhetsutövare. Men, som vi i vår tidigare artikel konstaterar, så är det inte klarlagt exakt vilka verksamheter som omfattas av lagen. Det är däremot tydligt att ansvaret för att följa lagen vilar på verksamhetsutövaren. Slutsatsen av det sagda måste bli att den som anar att det finns säkerhetskänslig verksamhet i den egna verksamheten ska ta ställning till om man träffas av lagen. SÄKERHETSSKYDDSANALYS Ett sådant ”övervägande” ska ske genom en s.k. säkerhetsskyddsanalys där det utreds hur säkerhetskyddsfrågorna ska hanteras. Detta ska sedan anmälas till korrekt tillsynsmyndighet. Det som kan framstå som egendomligt är att den som inte till någon del bedriver säkerhetskänslig verksamhet, men som bedriver verksamhet i gränslandet ändå kan behöva utföra en säkerhetsskyddsanalys. Detta följer av att lagstiftaren inte definierat vilken typ av verksamhet som ska omfattas av lagen, utan bara i allmänna ordalag har exemplifierat inom vilka sektorer säkerhetskänslig verksamhet ofta bedrivs. Det är ju ofta uppenbart att man inte träffas av bestämmelserna, men i många fall krävs alltså att man vidtar åtgärder i enlighet med lagen trots att man de facto inte omfattas av den. Den som nått slutsatsen att man omfattas av lagen behöver tillsätta en säkerhetsskyddschef. Det är ingen nyhet att en verksamhetsutövare behöver en säkerhetsskyddschef, men med de nya reglerna kommer fler att omfattas av denna skyldighet. Ansvaret för att verksamheten