2022 inleddes för många med en förhoppning om att vi gick bättre tider till mötes. Denna förhoppning varade inte länge. Under årets gång har den ekonomiska och den säkerhetspolitiska situationen i Europa försämrat. Det ställs därför högre krav på alla att vara mer medvetna om risker och vidta säkerhetsåtgärder för att förekomma hot. Detta innebär i sin tur att större fokus hamnar på lagar som syftar till att skydda Sveriges säkerhet. En sådan lag är Säkerhetsskyddslagen (2018:585).
Säkerhetsskyddslagen har uppdaterats ett antal gånger under de föregående åren, senast i december 2021. Lagen innebär särskilda skyldigheter för de som bedriver säkerhetskänslig verksamhet. Bland annat uppställer lagen krav på att sådana verksamhetsutövare ska anmäla sin verksamhet, upprätta en säkerhetsskyddsanalys, vidta säkerhetsåtgärder och iaktta särskilda krav vid överlåtelse av verksamheten eller aktier i en säkerhetskänslig verksamhet.
Innan en verksamhetsutövare kan överlåta en säkerhetskänslig verksamhet, eller del därav, måste det även göras en särskild säkerhetskyddsbedömning och lämplighetsprövning. Det måste också ske ett förhandssamråd med tillsynsmyndigheten. Även aktieägare i privata aktiebolag måste samråda innan de överlåter aktier i en säkerhetskänslig verksamhet. Samrådsmyndigheten kan förelägga sådana säljare att vidta åtgärder för att uppfylla sina skyldigheter enligt lagen och ytterst förbjuda överlåtelsen. En överlåtelse i strid med ett förbud blir ogiltig.
Verksamhetsutövare som omfattas av säkerhetsskyddslagen, men inte vidtagit åtgärder för att efterleva dess bestämmelser riskerar administrativa sanktionsavgifter som kan uppgå till 50 000 000 kronor.
Den uppdaterade säkerhetsskyddslagen och de rådande omständigheterna leder till skärpt tillsyn som gör att allt fler verksamheter kan bli föremål för lagens skyldigheter, samtidigt som det förblir otydligt för många huruvida de driver en säkerhetskänslig verksamhet. Det åligger den som bedriver en verksamhet att själv utreda och bedöma om verksamheten är säkerhetskänslig.
I ljuset av den ökade betydelse som säkerhetsskyddet får är det viktigt att verksamhetsutövare utreder sitt ansvar. Samtidigt förblir det svårt att bedöma vilka verksamheter, eller delar därav, som anses vara säkerhetskänsliga. Det är därför värdefullt att utföra en säkerhetskyddsanalys för att utreda behovet av att vidta åtgärder i den egna verksamheten.
Så vet du om verksamheten är säkerhetskänslig
Säkerhetskänslig verksamhet är ett vitt begrepp och det saknas konkreta ramar som utpekar vilka som bedriver säkerhetskänslig verksamhet. Det är därmed varje verksamhetsutövares eget ansvar att göra bedömningen, särskilt med hänsyn till att vad som utgör säkerhetskänslig verksamhet kan variera med tiden och beroende på hotbilden mot Sverige. Säkerhetskänsliga verksamheter är vanligt förekommande inom sektorer såsom telekom, bank och finans, energi- och vattenförsörjning, transport, finansiella tjänster och informationssystem för elektronisk kommunikation. Även verksamheter som behandlar stora mängder information eller personuppgifter, vilka i sig inte är säkerhetskyddsklassade, men som av andra skäl kan anses vara säkerhetskänsliga kan omfattas.
Utgångspunkten för bedömningen är att en säkerhetskänslig verksamhet är av betydelse för Sveriges säkerhet. Ett sätt att bedöma om er verksamhet är av betydelse för Sverige säkerhet är att utreda om ett fientligt angrepp på verksamheten skulle kunna medföra skada på Sveriges yttre eller inre säkerhet, ekonomi eller nationellt samhällsviktiga verksamheter. Detta kan ofta vara fallet inom verksamheter såsom finansiella betalningssystem, flygplatser eller tillhandahållare av kommunikationsnätverk.
Även verksamhet som behandlar informationsuppgifter som i sig inte klassas som säkerhetskänsliga men som används i en säkerhetskänslig verksamhet kan anses vara det. Till exempel, en leverantör av produkter med tillhörande teknisk lösning till Sveriges hälso- och sjukvård kan utgöra en säkerhetskänslig verksamhet, eftersom en IT-attack mot en sådan leverantör kan medföra stora svårigheter för den svenska hälso- och sjukvårdens nödvändiga uppgifter. Ett relativt färskt exempel på en liknande händelse är cyberangreppet mot Coop som skedde i 2021, där 800 butikers betalsystem stängdes ner. Ett liknande angrepp mot en leverantör inom den medicinska industrin kan få stora konsekvenser.
Gör en säkerhetsanalys
En säkerhetsskyddsanalys kan inledas med att besvara följande frågor för att skapa sig en bättre bild av sitt behov att bedriva säkerhetsskydd enligt lagen:
- Vad är målet med verksamheten?
- Finns det några delar av verksamheten som anses skyddsvärda med hänsyn till Sverige säkerhet?
- Vilken hotbild existerar? Till exempel vilka typer av angripare som existerar.
- Vilka konsekvenser skulle en attack eller ett ingrepp kunna få?
- Vilka hot och vilka sårbarheter finns kopplade till verksamheten?
Önskar ni hjälp med att utföra en verksamhetsanalys, har ni frågor om vad kraven på säkerhetskänsliga verksamheter innebär för er eller står ni inför en företagsöverlåtelse? Vi på Lindahl guidar er till ett lyckat resultat!
