2025 har varit ett intressant säkerhetsskyddsår bl.a. när det gäller rättspraxis där flera domar om sanktionsavgifter nu har prövats av kammarrätten. Två förslag om ändringar i säkerhetsskydds-lagen har också remitterats och bereds nu vidare inom Regeringskansliet. Dessutom har en ny utredning tillsatts om att införa ett klareringssystem (Dir. 2025:105). Det kanske ändå är årets säkerhetsskyddshöjdpunkt!
Nya lagförslag som skärper och förtydligar säkerhetsprövningen
Utredningarna Säkerhetsprövning – nya regler (SOU 2024:88) och Säkerhetsskyddslagen – ytterligare kompletteringar (SOU 2025:42) har remitterats under 2025 och förslagen bereds nu vidare inom Regeringskansliet. Förslagen innebär bl.a. att registerkontrollen ska omfatta fler register, en tydligare reglering av vad grundutredningen ska innehålla samt att vid säkerhets-prövningen ska det göras en samlad bedömning där ev. brister i underlaget får vägas in i helhetsbedömningen. Vidare föreslås att säkerhetsprövningsbeslut ska vara skriftliga och att ett säkerhetsprövningsbeslut till den prövades nackdel ska motiveras, dock med möjlighet till undantag, och att besluten ska kunna överklagas.
Kammarrättens domar ger ny praxis om sanktionsavgifter
Post- och telestyrelsens beslut om sanktionsavgift för Telias brister i säkerhetsskyddet prövades av Kammarrätten i Stockholm i september (mål nr 3127-24). Kammarrätten ändrade förvaltningsrättens dom och bestämde sanktionsavgiften till 15 000 000 kr, dvs. till det ursprungliga beloppet. Förvaltningsrätten i Stockholm hade efter Telias överklagande sänkt sanktionsavgiften till 10 000 000 kr.
När verksamheten själv inte anser sig vara säkerhetskänslig
I två andra domar från Kammarrätten i Stockholm sattes dock sanktionsavgifterna ned kraftigt och landade på 500 000 kr (mål nr 3427-24 och 3447-24). Länsstyrelsen hade bestämt sanktionsavgiften till 2 000 000 kr respektive 1 750 000 kr och förvaltningsrätten hade i båda fallen satt ner sanktionsavgiften till 1 250 000 kr. Båda domarna rörde mindre kommuner som själva inte ansåg sig bedriva säkerhetskänslig verksamhet, men där tillsynsmyndigheten ansåg att de gjorde det. De var därmed skyldiga att tillämpa säkerhetsskyddslagens bestämmelser om att bl.a. upprätta en säkerhetsskyddsanalys.
Otydlig vägledning skapar rättsosäkerhet
Att tillsynsmyndigheter kommer fram till att en verksamhet bedriver säkerhetskänslig verksamhet, då denne själv inte anser det, är intressant. Säkerhetsskyddslagen är uppbyggd så att det är den som bedriver verksamheten som ska avgöra om den bedriver säkerhetskänslig verksamhet och omfattas av säkerhetsskyddslagen eller inte. Samtidigt är vägledning och stöd för den bedömningen mycket knapphändig.
Behovet av nationella kriterier – lärdomar från NIS-regelverket
Det är intressant att jämföra den vägledning som ges på säkerhetsskyddsområdet med NIS-regleringen där det i bilaga I och II till NIS 2-direktivet anges vilka verksamheter som ska tillämpa bestämmelserna samt vad som krävs storleksmässigt av entiteterna. Något sådan borde vara möjligt att åstadkomma även på säkerhetsskyddsområdet. Det är inte tillfredsställande att verksamheter, t.ex. mindre kommuner, som gör seriösa försök att bedöma om den samhällsviktiga verksamhet som bedrivs av dem kan få konsekvenser på nationell nivå, riskerar höga sanktionsavgifter för att de anses göra ”fel” bedömning. En bedömning av vad som kan anses vara av nationell betydelse och därmed få konsekvenser för Sveriges säkerhet borde istället göras av en central myndighet eller av lagstiftaren.
Sanktionsavgifter även när säkerhetskänslig verksamhet medges
I ytterligare ett avgörande från Kammarrätten i Stockholm sattes sanktionsavgiften för en mindre Norrländsk kommun ner från 1 500 000 kr till 500 000 kr. (Förvaltningsrätten hade satt ner sanktionsavgiften till 750 000 kr). I det fallet ansåg sig dock kommunen bedriva säkerhetskänslig verksamhet själv.
Tillsynsmyndigheternas utredningsansvar sätts på prov
En annan aspekt som är intressant är vilken utredningsskyldighet en tillsynsmyndighet har. Myndigheter ska enligt 23 § förvaltningslagen se till att ett ärende blir utrett i den omfattning som krävs. Förvaltningsrätten i Stockholm prövade i slutet av mars Securitas Sverige AB:s överklagande av ett föreläggande om att anmäla säkerhetskänslig verksamhet (mål nr SM 16-24). Securitas Sverige AB tyckte inte själva att de bedrev säkerhetskänslig verksamhet. Domstolen ansåg, mot bakgrund av föreläggandets ingripande karaktär, att länsstyrelsen inte utrett ärendet i den omfattning som krävs och upphävde föreläggandet. Den grundläggande frågan om företaget bedrev säkerhetskänslig verksamhet eller inte prövades därför inte i målet.
Klareringssystem – ett efterlängtat steg framåt
Att en utredning med uppgift att utreda bl.a. om ett klareringssystem ska införas i Sverige och hur det i så fall ska utformas beslutades av regeringen i slutet av november (Dir. 2025:105). Bakgrunden till utredningen uppges vara bl.a. det intensifierade internationella samarbetet. Ett sådant system är välkommet. Den samhällsekonomiska nyttan av detta bör bli gigantisk.
Effektivitet och integritet i fokus vid framtida säkerhetsprövningar
Vidare innebär det stora lättnader för enskilda som kanske enbart behöver säkerhetsprövas och registerkontrolleras en gång. Som situationen är nu kan en person få genomgå säkerhetsprövningar flera gånger mer månad och samtidigt ha en stor mängd pågående registerkontroller. Det är inte orimligt att anta att t.ex. en vd eller säkerhetsskyddschef som säkerhetsprövas för att bedöma lämpligheten för företagets ledning har upp emot 20-30 pågående registerkontroller.
Skyddet för enskildas personliga integritet ökar också betydligt om det krävs färre säkerhetsprövningar och registerkontroller som kanske dessutom enbart hanteras av en myndighet.
Utredningsdirektivet anger också att utredningen ska analysera om förfarandet för utlämnande av uppgifter vid registerkontroll behöver ändras och föreslå hur förfarandet i så fall bör se ut samt bedöma vem som ska utfärda säkerhetsintyg samt om säkerhetsskyddslagens regler om säkerhetsintyg behöver ändras för att Sverige ska kunna leva upp till kraven på ömsesidigt godkännande av säkerhetsintyg. Uppdraget ska redovisas senast den 8 juni 2027.
