Simovits

Snaran dras åt för att hantera det mest skyddsvärda – SUA, utkontraktering och överlåtelse, tillsyn, sanktioner

Säkerhetsskyddslagstiftning reglerar säkerhetskänslig verksamhet med betydelse för Sveriges säkerhet. Detta innebär skydd för de mest skyddsvärda verksamheterna mot i första hand antagonistiska angrepp. I april 2019 träder dels den nya säkerhetsskyddslagen (1) samt den nya säkerhetsskyddsförordningen (2) i kraft. Nyligen redovisades ett betänkande med förslag på kompletteringar till den nya säkerhetsskyddslagen (3). Veckans blogg sammanfattar vad betänkandet innebär för säkerhetskänslig verksamhet. Förslagen i betänkandet, som träder i kraft 2021, syftar till att:

Säkerhetsskyddsavtal (SUA)

Det finns situationer då säkerhetskänslig verksamhet exponeras men det inte finns skyldighet att ingå SUA, t.ex. då samverkan inte gäller varor eller tjänster eller då det är leverantörens skyddsvärden det handlar om. Förslaget innebär en utvidgad skyldighet för verksamhetsutövare vid i) upphandling (ii) avtal eller annan form av samverkan med utomstående part att upprätta SUA om: Samarbetet innebär att den utomstående ges tillgång till 1. säkerhetsskyddsklassificerade uppgifter i klassen ”konfidentiell” eller högre, samt 2. övrig verksamhet med motsvarande betydelse för Sveriges säkerhet. Undantaget är samarbete mellan statliga myndigheter.

Utkontraktering och överlåtelse

Åtgärder har delats upp i steg, kallade kontrollstationer.

Vid överlåtelse av t.ex. hela, delar av verksamheten tillämpas kontrollstationer 1 och 2. (Skillnaden jämfört med utkontraktering är att vid överlåtelse mister den tidigare utövaren möjlighet att påverka hur den säkerhetskänsliga verksamheten samt de känsliga uppgifterna kommer att användas.) Förelägganden kan innebära att överlåtelse anses ogiltig och förenas med vite.

Tillsyn

Tillsynsstrukturen utvecklas enligt följande: Säkerhetspolisen samt Försvarsmakten föreslås vara samordningsmyndigheter. En tillsynsmyndighet för varje sakområde. Vissa förblir tillsynsmyndigheter som t.ex. Transportstyrelsen, andra tillkommer, t.ex. Finansinspektionen, och vissa föreslås inte längre bedriva tillsyn, t.ex. ett stort antal länsstyrelser. Tillsynens syfte, innehåll förtydligas och deras undersökningsbefogenheter utökas, t.ex. tillträde till områden och lokaler.

Sanktioner

Tillsynsmyndighet ges möjlighet att besluta om sanktionsavgifter. Avgifter ska vara obligatoriska när överträdelser av bestämmelser i säkerhetssyddslagstiftningen har skett. Det handlar om att verksamhetsutövare ej:

Avgifter föreslås ligga mellan 5000 kr till 10 miljoner. Nivå ska bedömas utifrån den skada som uppstått, om den skyldige tidigare begått överträdelse samt de kostnader som undvikits.

Slutsatser

Den skärpta säkerhetsskyddslagstiftningen förtydligas i och med betänkandet. Det får konsekvenser om verksamhetsutövare ej har kunskap om sina skyddsvärden eller ej har skyddsåtgärder på plats. Sanktionerna är intressanta då de ska vara obligatoriska vid överträdelser, men att nivåerna kan variera rejält. Som parallell bör nämnas den första GDPR-boten som avser brott mot Artikel 32 belades med ca 200000 kr (4) och Datainspektionen hittills enbart ger reprimand då utövare ej tillsätter dataskyddsombud (5). Det är en bra bit ifrån de högsta nivåer på 20 miljoner Euro eller4 % av global omsättning som överträdelser potentiellt kan resultera i. Detta bör ses i ljuset av de kostnader på 2000 miljarder av GDPR-förberedelse som genomförts inom Europa (6). Hur säkerställs att inte säkerhetsskyddslagen blir tandlös och att allt över, låt oss säga 500000 kr bedöms oskäligt? Detta blir intressant att följa och tidiga rättsfall till följd av nya säkerhetsskyddslagstiftningen kommer säkerligen noggrannt följas av aktörer. Det är inte orimligt att anta att de ser möjlighet att dimensionera sitt skydd efter vad brister i säkerhetsskyddet kan kosta.

Referenser

1.http://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/sakerhetsskyddslag-2018585_sfs-2018-585

2.http://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/sakerhetsskyddsforordning-2018658_sfs-2018-658

3.https://www.regeringen.se/4ae24e/contentassets/b152429991334d788c59a12d8d10d0f3/kompletteringar-till-den-nya-sakerhetsskyddslagen-sou-2018-82.pdf

4.https://www.bleepingcomputer.com/news/security/first-gdpr-sanction-in-germany-fines-flirty-chat-platform-eur-20-000/

5.https://www.datainspektionen.se/nyheter/forsta-svenska-gdpr-granskningen-klar/

6.https://www.nyteknik.se/sakerhet/eu-s-kostnad-for-gdpr-2-000-miljarder-kronor-6915684