Så var det första året med den nya säkerhetsskyddslagen till ända

Hösten 2011 beslutade regeringen att tillsätta en utredning om en ny säkerhetsskyddslag. Detta resulterade i den 578 sidor långa SOU:n som presenterades i mars 2015 varefter lagen slutligen trädde i kraft den 1 april 2019. Historiken är intressant eftersom den visar att lagen inte kom som en överraskning. Trots det var osäkerheten om hur man skulle tolka och förhålla sig till lagen efter den 1 april påtaglig hos många aktörer, både bland myndigheter, kommuner men inte minst bland enskilda verksamhetsutövare som tidigare inte var berörda av säkerhetsskydd på så sätt som den nya lagen föreskriver.

Ytterligare en intressant detalj i sammanhanget är att under 2018 presenterades en utredning om förslag om kompletteringar till den nya säkerhetsskyddslagen. Detta alltså redan innan den nya lagen trädde i kraft.

Tillsammans med säkerhetsskyddslagen har den senaste tiden även ett antal andra lagar trätt i kraft som delvis täcker in samma områden, t.ex. inom informationssäkerhet. Detta har i vissa lägen försvårat gränsdragningar och tolkningar om vilken lag det är som gäller. NIS direktivet och GDPR är kanske de mest kända av dessa.

En central del i säkerhetsskyddslagen är genomförandet av en säkerhetsskyddsanalys. Analysen ska utreda dels om verksamheten berörs av lagen samt vilka säkerhetsskyddsåtgärder som i så fall måste vidtas för att skydda verksamheten. Utgångspunkten är om det handlar om Sveriges säkerhet eller inte.

Om den analyserade verksamheten drabbas av tex ett avbrott, kommer det då påverka hela Sverige eller kommer det endast få lokala konsekvenser? Redan just den grundläggande frågan har visat sig vara inte helt enkel att besvara. Här finns både en risk att man går på för mycket ”för säkerhets skull” men också att verksamheter inte får tillräckligt skydd. Antingen pga. av en felaktig bedömning eller för att ekonomiska faktorer spelar in, dvs att säkerhetsskyddet anses bli för dyrt och att man därför väljer bort det.

Säkerhetsprövning, som är en del av personalsäkerheten är också ett område som fortfarande omfattas av stora brister. Säkerhetsprövning är inte att enbart genomföra en registerkontroll och den som är ansvarig för att genomföra säkerhetsprövningen måste både ha rätt kompetens och förmåga för att genomföra den på ett korrekt och ändamålsenligt sätt.

Till skillnad från tex GDPR där viten kan utdömas om brister upptäcks finns i dagsläget inget sådant när det gäller brister i säkerhetsskydd. Den kompletterande utredningen har föreslagit att sådana ska införas och det är ett klokt förslag.

Säkerhetsskyddslagen är en s.k. normativ lag, det innebär förenklat att lagen säger vad som ska göras men går inte in på detaljer hur. Här har tex Säkerhetspolisens vägledningar fyllt en mycket viktig funktion i att exemplifiera och precisera hur lagens krav faktiskt ska uppfyllas. Det behövs dock mer dokumentation och kompetens. Exempelvis arbetar Säkerhetspolisen nu med att ta fram en DHB (dimensionerad hotbeskrivning) vilket riktar sig till dem som bedriver särskilt säkerhetskänslig verksamhet. Arbetet beräknas vara klart i början på 2020.

Vi kommer att få räkna med nya och förändrade krav och mer dokumentation från berörda myndigheter. Under tiden är det centralt för alla som på något sätt berörs av säkerhetsskydd att ta frågan på allvar och se till att ha rätt kompetens. Utbildning inom området kommer att under överskådlig tid att vara helt centralt för att vi ska lyckas. Det handlar trots allt om det mest skyddsvärda, Sveriges säkerhet.