Att inte ta säkerhetsskydd på allvar kostar miljoner
Veckans blogg tar upp sanktioner inom säkerhetsskydd, då PTS nyligen utdelade sanktionsavgifter för överträdelser av bestämmelser i säkerhetsskyddslagen. Beslutet tillsammans med sanktioner av Länsstyrelsen under 2022 är intressanta eftersom de visar var praxis för nivåer är på väg, hur tillsynsmyndigheter resonerar, samt hur omständigheter vägs in i beslut. Bloggen ger en inblick i de utmaningar verksamheter hanterar i sitt arbete med säkerhetsskydd, samt vikten av personsäkerheten.
Vad handlar utdelade sanktioner om?
I det första fallet har PTS beslutat om sanktionsavgift mot Telenor AB som bedriver säkerhetskänslig verksamhet inom sektorn elektroniska kommunikationer enligt egen säkerhetsskyddsanalys. Enligt Säpo finns det skäl till att vara extra vaksam inom denna sektor (tillsammans med energiförsörjning samt kritiska leveranser) för att motverka spionage samt sabotage. Aktören har bedömts försumma sina skyldigheter inom personalsäkerhet och med oaktsamhet orsakat en sårbarhet som hade kunnat leda till en inte obetydlig skada för Sveriges säkerhet. Överträdelsen innebar i sak att ett antal befattningshavare inklusive säkerhetsskyddschef under ett antal månader varit del av säkerhetskänslig verksamhet utan att vara behöriga. Rent konkret har man inte ansökt om placering i säkerhetsskyddsklass för vissa befattningar som identifierats i säkerhetsskyddsanalys. Eftersom detta inte skett har säkerhetsprövning för dessa roller inte omfattat registerkontroll. Ingen skada har påvisats som följd av överträdelserna.
I det andra fallet har Länstyrelsen beslutat om sanktionsavgift mot kommunalförbundet VA Syd som bedriver säkerhetskänslig verksamhet inom dricksvattenförsörjning vilket bedöms vara av central betydelse för Sveriges säkerhet. Överträdelser har omfattat att under vissa begränsade tidsperioder har ej den säkerhetskänslig verksamhet anmälts, säkerhetsskyddschef har saknats, säkerhetsskyddsanalys har ej uppdaterats, bristande åtgärder har identifierats avseende leverantörer samt personal.
Vilka sårbarheter anses överträdelserna inneburit för Sverige?
I det första fallet är bedömningen att sårbarheten överträdelser inneburit skulle kunna utnyttjats av en antagonist genom ett insiderangrepp i syfte att påverka säkerhetskänslig verksamhet inom området elektronisk kommunikation, med skada för Sveriges säkerhet. Bedömningen är att det är lika allvarligt att det uppkommit en sårbarhet som kan få allvarliga konsekvenser som att det uppkommit en skada.
I det andra fallet är bedömningen att sårbarheten överträdelser inneburit skulle kunna utnyttjas vid ett angrepp mot Sverige för att påverka utrikes- och säkerhetspolitik eller försvaga landet inför ett militärt angrepp. Inte heller i detta fall har skada påvisats som följd av överträdelser, vilket innebär att sårbarheten i sig bedöms allvarligt nog.
Sen när kan sanktioner delas ut?
Paragrafen 7 kap 1§ ger tillsynsmyndigheter möjlighet att ta ut sanktionsavgifter och ingick i den revidering av säkerhetsskyddslagen som trädde i kraft 1 december 2021. Detta ger tillsynsmyndigheter ett kraftfullt verktyg för att komma åt allvarliga överträdelser inom centrala delar i lagstiftningen. Sanktioner är inte obligatoriskt utan tillsynsmyndigheten avgör när och hur mycket det bör handla om, dvs bär ansvaret att normera nivån för hur allvarliga överträdelser som ska medföra sanktionsavgift. Tidpunkt för införande är viktigt eftersom det innebär att överträdelser innan revideringen 2021 inte ska vägas in i bedömningar av relevant tillsynsmyndighet.
Hur stora sanktioner handlar det om?
Post och telestyrelsen utdelade 12.5 miljoner kr i böter till Telenor, 2022 beslutade Länsstyrelsen i Skåne om administrativa sanktionsavgifter på 7 miljoner kr till VA Syd. Efter överklagan till förvaltningsrätten justerades beloppet till 6 miljoner kr.
Hur sätts sanktionsnivåer?
Nivåer av sanktioner ska enligt 7 kap 4§ sättas till mellan 25 000 kr och 50 miljoner kr (10 miljoner för myndighet, kommun eller region) och den övre delen av skalan enbart för mycket allvarliga överträdelser. Särskild vikt sa läggas vid omständigheter, t.ex. utgå skada eller sårbarhet, om överträdelse varit uppsåtligt eller handlar om slarv, vilka åtgärder som satts in för att mildra verkningar, om detta skett tidigare, hur länge det pågått samt betydelse av relevanta bestämmelser. Detta ger vid handen att en verksamhetsutövare som gjort en bristande tolkning på detaljnivå i tillämpning under kort tid som skyndsamt åtgärdats bör vara i en annan sanktionsnivå än den aktör som vid upprepade tillfällen ignorerar centrala delar avsiktligt under lång tid.
I båda fallen har omständigheter bedömts handla om att överträdelser skett utan uppsåt, detta har lett till allvarliga sårbarheter kopplat till centrala delar av bestämmelser. I det andra fallet saknas åtgärder ifrån ledning för att få överträdelser att upphöra, vilket bedöms som grovt oaktsamt. Skälet till att nivåer sänks för det andra fallet i förvaltningsrätten handlar t.ex. om det geografiskt begränsade området för verksamheten samt att överträdelser inte pågått under lång sanktionsgrundande tid.
Vilka lärdomar kan dras?
I det systematiska säkerhetsskyddsarbetet är exempelvis säkerhetsaskyddsanalysen samt personalsäkerheten central, vilket besluten från tillsynsmyndigheterna tydligt visar. Det är för tidigt att uttala sig om vad praxis är för nivåer av sanktioner, dock ger dessa två fall indikationer på att överträdelser som leder till allvarliga sårbarheter ger konsekvenser i miljonklassen för aktörer inom säkerhetskänslig verksamhet. Bevisbördan för vad som är allvarliga sårbarheter ligger hos tillsynsmyndighet, men i dessa fall har utvecklade resonemang kopplat till detta ej behövts. De förtydliganden som givits är snarare motiveringar till varför aktörer är under säkerhetsskydd över huvud taget. Omständigheter spelar in till viss del i bedömningar av nivåer för sanktionsavgifter, men oavsett hur skyndsamt rätt åtgärder sätts in för att mildra effekter av bristerna, samt om en aktör är transparent kring händelseförlopp – Om överträdelser hade kunnat resultera i skada för Sveriges säkerhet avgör i sak.
Referenser
[1] Post och telestyrelsens beslut den 16 februari 2023, Dnr. 22–11253
[2] Förvaltningsrättens dom den 11 november 2022, mål nr 12373-22
[3] Säkerhetsskyddslagen (2018:585)
[4] Leeman m.fl., En kommentar till säkerhetsskyddslagen, 1 uppl.