Aktuella Byggen 1
jurikdik dslag – vem är verksamhetsutövare och va
d måste du som verksamhetsutövare göra? bedrivs i enlighet med säkerhetsskyddslagen åligger just säkerhetsskyddschefen och denne ges i den nya lagstiftningen ett särskilt utpekat ansvar att leda, samordna och kontrollera säkerhetsskyddsarbetet i verksamheten. DIREKT UNDERSTÄLLD Lagstiftaren har förklarat att säkerhetsskyddschefen ska vara ”direkt underställd” verksamhetsutövarens högste chef och ”typiskt sett ingå i en ledningsgrupp”. Det saknas dock en legaldefinition för vad det innebär att vara ”direkt underställd” någon. Därutöver utgör Verkställande direktör respektive Styrelse de aktiebolagsrättsligt erkända organen, men huruvida Verkställande direktör vill hålla sig med en ledningsgrupp är ju en smaksak. Uttalandet rymmer därför olika tolkningar. Om det finns en ledningsgrupp bör säkerhetsskyddschefen ingå i den. Men det kan också tänka sig att varje verksamhetsutövare måste ha en ledningsgrupp för att kunna låta säkerhetsskyddschefen ingå i den. Den verksamhetsutövare som inte följer reglerna riskerar ju vite, det vore därför bra med ett förtydligande. I skrivande stund kan vi inte ge något klart svar på dessa frågor, utan vi får sätta våra förhoppningar till att tillsynsmyndigheterna snabbt hanterar frågan. Vidare behöver alla verksamhetsutövare teckna s.k. säkerhetsskyddsavtal varje gång man ingår avtal med en kontrahent, detta då även kontrahenten behöver uppfylla säkerhetsskyddet. Lagstiftaren menar att ett säkerhetsskyddsavtal ”ska tecknas i alla situationer där säkerhetskänslig verksamhet exponeras”. Så fort en verksamhetsutövare avser ingå ett säkerhetsskyddsavtal ska detta anmälas till korrekt tillsynsmyndighet. Vilken myndighet som ansvarar för tillsynen framgår av 7 kap. 1 § första stycket 3-6, Säkerhetsskyddsförordning (2018:658). Det är olika myndigheter beroende på verksamhetsområde. Det ska alltså särskilt påpekas att skyldigheten att anmäla inträffar redan då verksamhetsutövaren kommer på idén att exempelvis inleda ett samarbete med någon annan. SÄKERHETSSKYDDSBEDÖMNING När anmälan till tillsynsmyndigheten är gjord ska ni, som verksamhetsutövare, genomföra en säkerhetsskyddsbedömning och en lämplighetsbedömning. Respektive förfarande har sitt eget syfte. Säkerhetsskyddsbedömningen för att klargöra vilken säkerhetskänslig verksamhet som kontrahenten kommer i kontakt med och lämplighetsbedömningen för att bedöma om det är lämpligt ur säkerhetsskyddssynpunkt. Om verksamhetsutövaren bedömer att ifrågavarande uppgifter är särskilt känsliga måste man dessutom samråda med tillsynsmyndigheten. Tillsynsmyndigheten äger rätt att ingripa och förbjuda det tänkta förfarandet. Först därefter får säkerhetsskyddsavtalet ingås varvid själva förfarandet (exempelvis att samarbeta) får inledas. När väl avtalet är undertecknat ska detta anmälas till tillsynsmyndigheten och slutligen, när samarbetet är över, ska även detta anmälas. FÖRHINDRA INFORMATION Sammanfattningsvis kan det konstateras att de nya reglerna sannolikt kommer att förhindra att information av betydelse för Sveriges säkerhet aktivt outsourcas till servrar i utlandet, så som skedde i ”Transportstyrelsens IT-upphandling”. Därvidlag ska vi komma ihåg att det var regeringens egen myndighet som frivilligt outsourcade sina sekretessbelagda uppgifter till utlandet, men den byråkratiska lösningen bygger på att alla som till någon del bedriver säkerhetskänslig verksamhet ska underkasta sig bestämmelserna. En modern säkerhetsskyddslagstiftning borde ju bemöta nutida risker och hot, exempelvis cyberhotet. Den nya lagstiftningen besvarar dock inte frågan hur en verksamhetsutövare ska skydda säkerhetskänslig information mot antagonistiska angrepp. Den uppdaterade lagstiftningen framstår därför mer som ett försök att förflytta fokus från svensk inrikespolitik snarare än ett allvarligt menat försök att skapa en modern säkerhetsskyddslagstiftning. MATHIAS KÅGELL-LANDGREN mathias.kagell-landgren@foyen.se AKTUELLA BYGGEN NR 2 | 2022 165