Artikel | 03 Nov 2023
Säkerhetsskyddslagen – Skyldigheter för säkerhetskänsliga verksamheter
Intresset för utländska företag och makter att investera och skapa sig inflytande i EU har länge varit högt. Även Sverige har under lång tid varit en attraktiv destination för utländska investerare, mycket tack vare landets ständigt frihandelsförespråkande agenda. Under 2022 nådde Sverige sitt hittills högsta investerarintresse och slog nytt rekord för utländska direktinvesteringar med 512 miljarder kronor. Siffran utgör nästan en trefaldig ökning från året innan. Utländska tillgångar är fördelade mellan tjänstesektorn (66 procent) och tillverkningsindustrin (34 procent).
Det finns många bevisade fördelar med utländska direktinvesteringar. I takt med det stigande intresset för utländska investerare att göra affärer i EU har dock även tankarna kring behovet att skydda diverse nationella intressen ökat. Den politiska diskursen kring skyddsbehovet ökade starkt under covid-19-pandemin. Rysslands invasion av Ukraina i februari 2022 och de ekonomiska svängningarna som följde av västvärldens sanktioner mot Ryssland satte ytterligare fart på den redan högaktuella frågan om nationell motståndskraft och autonomi.
Säkerhetspolisen bedömde i början av 2023 att säkerhetsläget i Europa allvarligt har försämrats under 2022. Som anledningar nämns, utöver spänningarna mellan Ryssland och västvärlden, Kina och Irans systematiska spionage och teknikanskaffning. Försämringen har, tillsammans med den svårbedömda omvärldsutvecklingen i stort, en direkt negativ påverkan på Sverige.
Det spända geopolitiska och ekonomiska världsläget har föranlett många länder att introducera nya eller anpassa existerande regelverk i syfte att förstärka skyddet av nationella intressen. I denna artikelserie fördjupar vi oss i tre centrala regelverk för svenska företag med skyddsvärd verksamhet och ser till deras innebörd vid transaktioner.
I denna första artikel behandlas den redan gällande svenska säkerhetsskyddslagen (2018:585). I del två och tre kommer det svenska granskningssystemet för utländska direktinvesteringar (FDI) och EU:s förordning om utländska subventioner (FSR) att behandlas.
Säkerhetsskyddslagens historia och ambition
År 1996 trädde säkerhetsskyddslagen i kraft i Sverige. Sedan dess har regelverket sett flera omarbetningar och anpassningar för att möta det rådande världslägets utmaningar. De senaste omfattande ändringarna infördes i december 2021, då lagstiftningen anpassades i ljuset av bland annat covid-19-pandemin.
Säkerhetsskyddslagen gäller för den som till någon del bedriver ”säkerhetskänslig verksamhet”. Med detta avses verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Lagtexten beskriver inte uttömmande vad som anses vara ”säkerhetskänslig verksamhet” i Sverige. Risken med att ha en för allmänheten tillgänglig lista över skyddsvärda verksamheter har ansetts vara alltför stor. Vägledning får istället sökas i förarbetena till säkerhetsskyddslagen.
Uttrycket ”Sveriges säkerhet” tar sikte på förhållanden av grundläggande betydelse för Sverige, så som militär verksamhet, diplomatisk verksamhet eller civil infrastruktur som flygplatser och energianläggningar. Även så kallad samhällsviktig verksamhet kan bedömas röra Sveriges säkerhet. Här innefattas bland annat sektorer som energiförsörjning, vattenförsörjning, livsmedelsförsörjning, elektroniska kommunikationer eller finansiella tjänster.
Det räcker dock inte för säkerhetsskyddslagens tillämpning att en verksamhet enbart är samhällsviktig. Avgörande är om en sådan verksamhet även anses röra Sveriges säkerhet. Denna bedömning görs utifrån vilka skadekonsekvenser en antagonistisk handling skulle kunna medföra på nationell nivå.
Som exempel på en nationell samhällsviktig verksamhet kan elförsörjningen nämnas, vilken har en särställning genom sin både direkta och indirekta roll för samhällets funktion. Ett avbrott i elförsörjningen skulle innebära en direkt förlust av ljus och värme, men skulle även kunna få allvarliga skadekonsekvenser i andra sektorer, såsom elektronisk kommunikation och betalningssystem.
Skyddsvärda verksamheter behöver dock inte ha nationell betydelse för att omfattas av lagen, utan kan även finnas på regional eller lokal nivå. Exempel på detta kan vara en lokal eller regional störning av dricksvattenförsörjningen, vilken skulle påverka ett stort antal människor i en region, vilket i förlängningen kan få nationella följdverkningar.
Av förarbetena till säkerhetsskyddslagen framgår att hotbilden mot Sveriges säkerhet är en komplex fråga av föränderlig natur. Samhället har förändrats sedan säkerhetsskyddslagen introducerades på 1990-talet, vilket medfört att förhållanden inom andra samhällssektorer än enbart det militära försvaret kan vara av betydelse för Sveriges säkerhet.
Återupptagandet av planeringen för det svenska totalförsvaret talar dock för att det militära och civila försvaret alltjämt utgör centrala skyddsområden. Därtill har den ökade internationaliseringen och Sveriges stärkta internationella samarbeten inom det försvars- och säkerhetspolitiska området inneburit en större beroendeställning för landet gentemot andra länder.
För 2022 identifierade säkerhetspolisen tre sektorer där det finns skäl att vara särskilt vaksam för att motverka spionage och sabotage – energiförsörjning, telekom och transporter av kritiska leveranser. Angrepp på dessa sektorer skulle enligt säkerhetspolisen utöver skada mot Sverige även kunna orsaka skada för övriga Europa. Det är dock viktigt att påpeka att dessa sektorer inte kan anses uttömmande beskriva vad som är skyddsvärd verksamhet i Sverige.
Allmänna skyldigheter för verksamhetsutövare
Den som till någon del bedriver säkerhetskänslig verksamhet är i lagens mening en ”verksamhetsutövare”. Med detta kommer ett antal skyldigheter som måste följas för att inte riskera att ådra sig sanktionsavgifter.
Först och främst ska nämnas att det åligger verksamhetsutövare själva att bedöma huruvida deras verksamhet är säkerhetskänslig eller ej. Verksamhetsutövare ska utreda behovet av säkerhetsskydd i en så kallad säkerhetsskyddsanalys. Säkerhetsskyddsanalysen ska dokumenteras och hållas tillgänglig. Med utgångspunkt i analysen ska verksamhetsutövare planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning och den eventuella förekomsten av säkerhetsskyddsklassificerade uppgifter i verksamheten. Till säkerhetsskyddsåtgärderna hör att iaktta kraven på informationssäkerhet, fysisk säkerhet samt personalsäkerhet.
Verksamhetsutövare som bedömer att de bedriver säkerhetskänslig verksamhet ska utan dröjsmål anmäla detta till den för verksamheten ansvariga tillsynsmyndigheten. Tillsynsmyndigheterna anges i 8 kap. 1 § till säkerhetsskyddsförordningen (2021:955). Säkerhetspolisen och Försvarsmakten är så kallade samordningsmyndigheter som följer upp, utvärderar och utvecklar tillsynsarbetet.
Verksamhetsutövaren ska därefter kontinuerligt kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet till tillsynsmyndigheten.
Vidare skyldigheter för verksamhetsutövare är bland annat att utse en säkerhetsskyddschef och säkerhetspröva personal. I vissa fall måste verksamhetsutövare dessutom ingå säkerhetsskyddsavtal om en utomstående avtalspart kan komma att få tillgång till säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet genom ett avtalsförhållande.
Tillsynsmyndigheten får besluta om sanktionsavgifter för verksamhetsutövare eller aktie-/andelsägare i säkerhetskänslig verksamhet som har åsidosatt sina skyldigheter enligt säkerhetsskyddslagen. Sanktionsavgifter för privata aktörer är som lägst 25 000 kronor och som högst 50 miljoner kronor. För statliga myndigheter, kommuner och regioner är den övre gränsen 10 miljoner kronor.
Vid bedömningen av om en sanktionsavgift ska tas ut tas särskild hänsyn till den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen. Andra faktorer som inverkar på bedömningen är om överträdelsen varit uppsåtlig eller berott på oaktsamhet och vad verksamhetsutövaren eller aktie-/andelsägare gjort för att överträdelsen ska upphöra och för att begränsa dess verkningar när överträdelsen upptäckts.
Kännedomen om de grundläggande skyldigheterna för verksamhetsutövare i säkerhetskänsliga verksamheter är tämligen låg i Sverige. Bland annat har VA Syd tilldelats en sanktionsavgift för att organisationen missade att anmäla verksamheten som säkerhetskänslig och därigenom även saknade en uppdaterad säkerhetsskyddsanalys, en säkerhetsskyddschef och säkerhetsprövad personal och leverantörer.
Verksamhetsutövare som är osäkra på huruvida deras verksamhet ligger under säkerhetsskyddslagen bör därför omgående inleda sådana interna analyser i nära samarbete med juridiska rådgivare för att undvika eventuella höga sanktionsavgifter.
Skyldigheter för verksamhetsutövare vid överlåtelser
Vid överlåtelse av säkerhetskänslig verksamhet uppstår ytterligare ett antal skyldigheter för verksamhetsutövare. Den verksamhetsutövare som avser överlåta hela eller någon del av säkerhetskänslig verksamhet eller egendom måste innan överlåtelsen genomföra:
- En särskild säkerhetsskyddsbedömning och lämplighetsprövning, samt
- Ett samråd med den ansvariga tillsynsmyndigheten.
I säkerhetsskyddsbedömningen ska verksamhetsutövaren identifiera vilka säkerhetsskyddsklassificerade uppgifter eller vilken säkerhetskänslig verksamhet i övrigt som förvärvaren kan få tillgång till genom överlåtelsen. Med utgångspunkt i denna bedömning och övriga omständigheter som kan vara av intresse i situationen ska verksamhetsutövaren sedan pröva om överlåtelsen är lämplig från säkerhetsskyddssynpunkt.
Om lämplighetsprövningen leder till bedömningen att överlåtelsen är olämplig från säkerhetsskyddssynpunkt får överlåtelsen inte genomföras. När verksamhetsutövaren bedömer att en överlåtelse inte vore olämplig ska verksamhetsutövaren samråda med tillsynsmyndigheten.
Samrådsstadiet liknar i viss mån en koncentrationsanmälan till konkurrensverket enligt konkurrenslagen (2008:579). Tillsynsmyndigheten har mandat, likt konkurrensverket, att godkänna en överlåtelse, förena ett godkännande med åtaganden eller förbjuda överlåtelsen helt. Myndigheten har även mandat att besluta om förbud av en transaktion i efterhand.
En anmärkningsvärd skillnad mot konkurrenslagen är dock att säkerhetsskyddslagen inte bestämmer några fasta tidslinjer för en samrådsprocess. I realiteten innebär detta att parter som vill överlåta eller förvärva hela eller delar av en säkerhetskänslig verksamhet behöver ta anmälningsprocessen i beaktan med god framförhållning och tidigt ta ställning till risken av en eventuellt långvarig process med myndigheten. Innan tillsynsmyndigheten godkänner en överlåtelse får transaktionen nämligen inte ”stängas”.
En överlåtelse i strid med ett förbud från tillsynsmyndigheten är civilrättsligt ogiltig, vilket innebär att ett avtal eller avtalsvillkor i strid med ett förbud inte kan göras gällande. Parterna är då inte skyldiga att fullgöra sina åtaganden och prestationer ska återgå när tillsynsmyndigheten kräver detta. Även överlåtelser som genomförts utan samråd men som uppfyller förutsättningarna för förbud får förbjudas i efterhand och därigenom ogiltigförklaras. Vid ogiltiga överlåtelser får tillsynsmyndigheten besluta om de förelägganden mot överlåtaren och förvärvaren som behövs för att förhindra skada för Sveriges säkerhet. Ett sådant beslut om föreläggande får förenas med vite.
Parallell tillämpning
Säkerhetsskyddslagen och FDI-regelverket som träder i kraft den 1 december 2023 kommer att tillämpas parallellt för överlåtelser av och investeringar i säkerhetskänsliga verksamheter. Från och med den 1 december 2023 kommer det därför att finnas situationer när en transaktion måste föregås av ett samrådsförfarande enligt säkerhetsskyddslagen och ett anmälningsförfarande enligt FDI-regelverket – till separata myndigheter. Detta kommer att få stor betydelse för tidsplaneringen och avtalsförhandlingar om köpeskilling och garantiåtaganden i de transaktioner som omfattas. Transaktioner kommer onekligen att behöva planeras bättre för att undvika att flaskhalsar uppstår.
Setterwalls kommentar
Vad som är skyddsvärt är en komplex fråga av föränderlig natur. Av förarbetena följer att uttrycket ”Sveriges säkerhet” innefattar både verksamhet av grundläggande betydelse för Sverige, så som militären eller den civila infrastrukturen, såväl som samhällsviktig verksamhet som försörjningssäkerhet avseende energi, vatten och livsmedel.
I takt med den stigande säkerhetsmedvetenheten har regelverken till skydd för Sveriges säkerhet stramats upp och kraven för verksamhetsutövare blivit alltmer komplexa. Det som ligger till grund för tillsynsmyndigheternas bedömning är alltjämt vilka skadekonsekvenser en antagonistisk handling mot verksamheten skulle kunna medföra på nationell nivå.
Till dig som verksamhetsutövare:
- Tänk på att säkerhetsskyddslagen redan har trätt i kraft och att höga sanktionsavgifter har dömts ut för underlåtelse att anpassa verksamheter efter lagens tillämplighet.
- Om din verksamhet är sådan att den riskerar att falla under säkerhetsskyddslagens bestämmelser och behovet av säkerhetsskydd inte redan har utretts i en säkerhetsskyddsanalys bör detta arbete omgående inledas i nära dialog med juridisk rådgivare.
- Skulle det visa sig att din verksamhet är säkerhetskänslig utan att den uppfyller lagens skyldigheter finns det en påtaglig risk för höga sanktionsavgifter. I sådant fall blir det närmast en taktisk fråga hur tillsynsmyndigheten ska informeras. Hur denna dialog förs kan påverka risken för höga sanktioner.
Setterwalls jurister har stor erfarenhet av att bistå företag i alla stadier av överlåtelser och är vana att föra våra klienters dialoger med tillsynsmyndigheter. Vid osäkerheter kring säkerhetsskyddslagens tillämplighet eller inverkan på transaktioner uppmuntrar vi dig därför att söka en dialog med oss, givetvis på no-names-basis om önskas, för att utreda riskbilden.
Ni kan ladda ner en summering av artikeln här: Säkerhetsskyddslagen på tre minuter.
Kontakt:
Verksamhetsområde: