Sveriges totalförsvar vilar på två samverkande pelare: det militära och det civila försvaret. Inom det civila försvaret spelar näringslivet en avgörande roll. Från logistik och energiförsörjning till digital infrastruktur och transporter. I takt med den försämrade säkerhetspolitiska omvärldsutvecklingen växer också kraven på ett mer robust och samordnat totalförsvar. Samtidigt växer hoten. Påverkanskampanjer, cyberattacker, störningar i globala försörjningskedjor blir allt vanligare, och samhällets kritiska funktioner utsätts för ökat tryck.
För privata företag och aktörer innebär det inte bara ett behov av att stärka sin egen motståndskraft, utan också ett ansvar att förstå sin roll i helheten. En viktig del i detta är att identifiera om verksamheten är att betrakta som säkerhetskänslig och i sådana fall omfattas av säkerhetsskyddslagen. Att ta detta ansvar är avgörande för att skydda samhället i stort och bidra till den nya säkerhetsordning som nu växer fram i Sverige och omvärlden.
Egenansvarets paradoxer
En vanlig missuppfattning är att säkerhetsskyddslagstiftningen enbart gäller statliga aktörer, men även privata kan omfattas. Det finns anledning att anta att många verksamheter, i både privat och offentlig sektor, ännu inte identifierat att de bedriver säkerhetskänslig verksamhet. Problemet är ett system av paradoxer som gör ansvaret nästintill omöjligt att reda ut.
- Identifieringsparadoxen: Det lagen kräver att företag själva bedömer om de är
skyddsvärda. Denna bedömning, som rör ”Sveriges säkerhet”, kräver i
praktiken tillgång till statliga hotbildsanalyser och underrättelser som ett privat
företag per definition saknar. De tvingas gissa vad staten anser vara skyddsvärt.
- Den ekonomiska paradoxen: Kombinationen av otydliga krav, oproportionerliga implementeringskostnader samt hotet om mångmiljonsanktioner skapar ett incitament att undvika klassificering snarare än att uppnå reell efterlevnad. Många verksamheter antar därför, i god tro eller av misstag, att ansvaret ligger hos en ”huvudutövare” eller kund, ovetandes om de juridiska och ekonomiska riskerna.
- Den juridiska fällan (Implementeringsparadoxen): De företag som försöker efterleva lagen och identifierar en intern säkerhetsrisk (t.ex. en anställd) hamnar i en olöslig juridisk konflikt. Som Löf och Johansson skrev i Dagens Juridik tvingas företag balansera på en ”slak lina” mellan säkerhetsskyddslagens tvingande sekretesskrav och
arbetsrättens (LAS) lika tvingande regler om anställningsskydd. En konflikt som
exponerats i sentida praxis från Arbetsdomstolen.
Bedriver vi säkerhetskänslig verksamhet?
Att avgöra om en verksamhet är säkerhetskänslig är, som paradoxerna ovan visar, varken trivialt eller självklart. Bedömningen kan inte överlåtas till någon annan, inte ens till en uppdragsgivare eller annan myndighet. Frågan ”Bedriver vi säkerhetskänslig verksamhet?” är en av de mest grundläggande inom området för säkerhetsskydd, men samtidigt en av de mest komplexa. Säkerhetsskyddslagstiftningen pekar tydligt ut att det är verksamhetsutövaren själv som har ansvaret för att bedöma om säkerhetsskydd krävs, trots dessa svårigheter.
Egenansvaret och den rättsliga grunden
Den svenska säkerhetsskyddslagstiftningen bygger på principen om egenansvar. Det innebär att varje aktör, offentlig eller privat, som kan påverka Sveriges säkerhet är skyldig att göra en bedömning av sin verksamhet. Säkerhetsskyddet ska omfatta skydd av uppgifter, system, anläggningar och funktioner (inklusive nyckelpersoner och specialistkompetenser) som är av betydelse för Sveriges säkerhet. Bedömningen bör baseras på Säkerhetspolisens vägledning i säkerhetsskyddsanalys, promemorian ”Vad är säkerhetskänslig verksamhet?”, samt eventuella sektorsspecifika vägledningar (t.ex. från Svenska Kraftnät, Försvarsmakten, MSB).
Analysens tre huvudfrågor:
- Vad i verksamheten kan vara av betydelse för Sveriges säkerhet?
- Vilka antagonistiska hot kan påverka dessa skyddsvärden?
- Vilka konsekvenser kan ett angrepp få (ex. på lokal, regional eller nationell nivå)?
Ett ansvar vi inte har råd att missa
Avslutningsvis kan processen att besvara frågan ”Bedriver vi säkerhetskänslig verksamhet?” vara komplex och ibland mödosam då det oftast inte är en fråga man kan besvara med ett enkelt ja eller nej. Den kräver eftertanke, insikt och framför allt en vilja att ta ansvar för Sveriges säkerhet – även om det inte känns som en direkt uppgift för er verksamhet.
Att missa detta kan givetvis få allvarliga konsekvenser och innebära juridiska påföljder. Än viktigare är de potentiella riskerna för Sveriges säkerhet i stort. De verksamheter som brister i säkerhetsskyddet kan bli den svaga länken i en större kedja med allvarliga konsekvenser för vitala samhällsfunktioner.
Vi hjälper er gärna
Att identifiera och hantera säkerhetskänslig verksamhet kan vara en utmanande process. Basalt har gedigen erfarenhet inom området och hjälper gärna till. Vi stöttar med allt från att genomföra säkerhetsskyddsanalyser till att ta fram anpassade skyddsåtgärder och säkerhetsskyddsplaner. Tveka inte att kontakta oss om ni behöver stöd i detta viktiga arbete!
