Snaran dras åt för att hantera det mest skyddsvärda – SUA, utkontraktering och överlåtelse, tillsyn, sanktioner
Säkerhetsskyddslagstiftning reglerar säkerhetskänslig verksamhet med betydelse för Sveriges säkerhet. Detta innebär skydd för de mest skyddsvärda verksamheterna mot i första hand antagonistiska angrepp. I april 2019 träder dels den nya säkerhetsskyddslagen (1) samt den nya säkerhetsskyddsförordningen (2) i kraft. Nyligen redovisades ett betänkande med förslag på kompletteringar till den nya säkerhetsskyddslagen (3). Veckans blogg sammanfattar vad betänkandet innebär för säkerhetskänslig verksamhet. Förslagen i betänkandet, som träder i kraft 2021, syftar till att:
- föreslå åtgärder som t.ex. tillståndsprövning för att hantera risker för säkerhetsskyddsklassificerade uppgifter och säkerhetskänslig verksamhet i samband med bl.a. utkontraktering,
- lägga fram ett system med sanktioner,
- införa förändringar i hur tillsyn ska gå till samt
- beskriva när säkerhetsskyddsavtal ska ingås med utomstående.
Säkerhetsskyddsavtal (SUA)
Det finns situationer då säkerhetskänslig verksamhet exponeras men det inte finns skyldighet att ingå SUA, t.ex. då samverkan inte gäller varor eller tjänster eller då det är leverantörens skyddsvärden det handlar om. Förslaget innebär en utvidgad skyldighet för verksamhetsutövare vid i) upphandling (ii) avtal eller annan form av samverkan med utomstående part att upprätta SUA om: Samarbetet innebär att den utomstående ges tillgång till 1. säkerhetsskyddsklassificerade uppgifter i klassen “konfidentiell” eller högre, samt 2. övrig verksamhet med motsvarande betydelse för Sveriges säkerhet. Undantaget är samarbete mellan statliga myndigheter.
Utkontraktering och överlåtelse
Åtgärder har delats upp i steg, kallade kontrollstationer.
- Kontrollstation 1. Innan förfarande (t.ex. utkontraktering) ska verksamhetsutövaren genomföra och dokumentera en särskild säkerhetsbedömning och en lämplighetsprövning. Bedömningen för att identifiera uppgifter och övrig verksamhet som kräver säkerhetsskydd som den utomstående kan få tillgång till. Med utgångspunkt ifrån denna ska en lämplighetsprövning avgöra om förfarandet får inledas eller ej.
- Kontrollstation 2. I vissa fall gäller samrådsskyldighet med tillsynsmyndighet, dvs då förfarandet kräver säkerhetsskyddsavtal, och då den utomstående parten kan få tillgång till: 1) eller förvara säkerhetsskyddsklassificerade uppgifter i klassen “hemlig” eller högre utanför egna lokaler 2) övrig verksamhet med motsvarande betydelse för Sveriges säkerhet eller 3) informationssystem utanför egna lokaler och åtkomst kan medföra allvarlig skada för Sverige. Förelägganden samt förbud kan bli resultat om tillsynsmyndighet finner utkontrakteringen olämplig.
- Kontrollstation 3. En nödbroms som ger tillsynsmyndighet möjlighet att ingripa vid pågående förfarande. Förelägganden innebär åtgärder som kan innebära krav på att hela eller delar av förfarandet upphör, samt kan förenas med viten.
Vid överlåtelse av t.ex. hela, delar av verksamheten tillämpas kontrollstationer 1 och 2. (Skillnaden jämfört med utkontraktering är att vid överlåtelse mister den tidigare utövaren möjlighet att påverka hur den säkerhetskänsliga verksamheten samt de känsliga uppgifterna kommer att användas.) Förelägganden kan innebära att överlåtelse anses ogiltig och förenas med vite.
Tillsyn
Tillsynsstrukturen utvecklas enligt följande: Säkerhetspolisen samt Försvarsmakten föreslås vara samordningsmyndigheter. En tillsynsmyndighet för varje sakområde. Vissa förblir tillsynsmyndigheter som t.ex. Transportstyrelsen, andra tillkommer, t.ex. Finansinspektionen, och vissa föreslås inte längre bedriva tillsyn, t.ex. ett stort antal länsstyrelser. Tillsynens syfte, innehåll förtydligas och deras undersökningsbefogenheter utökas, t.ex. tillträde till områden och lokaler.
Sanktioner
Tillsynsmyndighet ges möjlighet att besluta om sanktionsavgifter. Avgifter ska vara obligatoriska när överträdelser av bestämmelser i säkerhetssyddslagstiftningen har skett. Det handlar om att verksamhetsutövare ej:
- Anmäler att säkerhetskänslig verksamhet bedrivs eller har upphört
- Utför eller uppdaterar en säkerhetsskyddsanalys
- Vidtar säkerhetsskyddsåtgärder
- Säkerhetsskyddsklassificerar uppgifter
- Kontrollerar skyddet i den egna verksamheten eller ej följer rapporteringsplikt
- Ingår i säkerhetsskyddsavtal eller har brister i dessa
- Utser en säkerhetsskyddschef
Avgifter föreslås ligga mellan 5000 kr till 10 miljoner. Nivå ska bedömas utifrån den skada som uppstått, om den skyldige tidigare begått överträdelse samt de kostnader som undvikits.
Slutsatser
Den skärpta säkerhetsskyddslagstiftningen förtydligas i och med betänkandet. Det får konsekvenser om verksamhetsutövare ej har kunskap om sina skyddsvärden eller ej har skyddsåtgärder på plats. Sanktionerna är intressanta då de ska vara obligatoriska vid överträdelser, men att nivåerna kan variera rejält. Som parallell bör nämnas den första GDPR-boten som avser brott mot Artikel 32 belades med ca 200000 kr (4) och Datainspektionen hittills enbart ger reprimand då utövare ej tillsätter dataskyddsombud (5). Det är en bra bit ifrån de högsta nivåer på 20 miljoner Euro eller4 % av global omsättning som överträdelser potentiellt kan resultera i. Detta bör ses i ljuset av de kostnader på 2000 miljarder av GDPR-förberedelse som genomförts inom Europa (6). Hur säkerställs att inte säkerhetsskyddslagen blir tandlös och att allt över, låt oss säga 500000 kr bedöms oskäligt? Detta blir intressant att följa och tidiga rättsfall till följd av nya säkerhetsskyddslagstiftningen kommer säkerligen noggrannt följas av aktörer. Det är inte orimligt att anta att de ser möjlighet att dimensionera sitt skydd efter vad brister i säkerhetsskyddet kan kosta.
Referenser
1.http://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/sakerhetsskyddslag-2018585_sfs-2018-585
2.http://www.riksdagen.se/sv/dokument-lagar/dokument/svensk-forfattningssamling/sakerhetsskyddsforordning-2018658_sfs-2018-658
3.https://www.regeringen.se/4ae24e/contentassets/b152429991334d788c59a12d8d10d0f3/kompletteringar-till-den-nya-sakerhetsskyddslagen-sou-2018-82.pdf
4.https://www.bleepingcomputer.com/news/security/first-gdpr-sanction-in-germany-fines-flirty-chat-platform-eur-20-000/
5.https://www.datainspektionen.se/nyheter/forsta-svenska-gdpr-granskningen-klar/
6.https://www.nyteknik.se/sakerhet/eu-s-kostnad-for-gdpr-2-000-miljarder-kronor-6915684