Den nya säkerhetsskyddslagen, som trädde i kraft 2019, syftar till att möta en alltmer komplex och föränderlig hotbild mot Sveriges säkerhet. För personer med bakgrund inom exempelvis Försvarsmakten eller Säkerhetspolisen är säkerhetsskydd centralt i arbetet och många av oss har lång erfarenhet av att arbeta inom områden med konkret bäring mot säkerhetsskyddslagstiftningen. I Försvarsmakten är exempelvis begreppet säkerhet ofta synonymt med säkerhetsskydd, även om verksamhetsskyddet också spelar en viktig roll i det dagliga arbetet. Sedan 2019 har lagstiftningen påverkat många civila verksamhetsutövare som tidigare aldrig kommit i kontakt med detta regelverk, vilket av förklarliga skäl utgör en betydande utmaning. Men hur står det egentligen till inom myndighetsvärlden, där det borde finnas en tradition, kunskap och erfarenhet av att hantera dessa frågor? Behandlas säkerhetsskyddet som den strategiska nödvändighet det faktiskt är?

Skandaler som en väckarklocka

Det finns upprepade exempel på fall där säkerhetsskyddet inte prioriterats på den nivå som det kräver. Transportstyrelseskandalen och nu senast händelser kring Lantmäteriet är två mycket målande exempel på när enskilda höga chefer fattar beslut som inte är förenliga med lagstiftningen – och exempel på vad som händer när säkerhetsskydd inte prioriteras.

Outsourcing av IT-drift till utländska leverantörer utan tillräcklig säkerhetsprövning innebar att känslig information om svenska medborgare och samhällskritiska funktioner exponerades. Denna incident visade på en bristande förståelse bland de högsta beslutsfattarna för vad som egentligen är skyddsvärt, vilka hot som behöver adresseras och hur skyddet ska utformas. Händelsen visade tydligt hur okunskap och brist på helhetsförståelse runt säkerhetsskydd i ledningen kan få allvarliga konsekvenser för Sveriges säkerhet – och Lantmäteriets nyligen rapporterade brister indikerar att problemet uppenbarligen kvarstår.

Trots lärdomar vi borde ha dragit från tidigare händelser framstår det som att organisationer fortfarande inte förstår att säkerhetsskydd är en strategisk nödvändighet som kräver ledningens fullständiga engagemang. Den intressanta och samtidigt oroväckande likheten mellan Transportstyrelsen och Lantmäteriet är tendensen att behandla säkerhetsskydd som en valbar del av verksamheten, snarare än som en icke-förhandlingsbar förutsättning för att säkra nationens intressen. Frågan är: Vad grundar sig detta förhållningssätt i? Beror det på bristande utbildning i kombination med naivitet, en kultur präglad av ”kostnadsjakt”, eller att säkerhetsfrågor systematiskt nedprioriteras till förmån för ”effektivitet”? Den kanske viktigaste frågan är dock: Hur ser det egentligen ut inom andra myndigheter i Sverige?

Säkerhetsskydd kontra verksamhetsskydd: En avgörande skillnad

Det finns en risk att säkerhetsskydd och verksamhetsskydd förväxlas av högt uppsatta chefer och myndighetsrepresentanter, två områden som trots vissa överlappningar har helt olika syften och krav.

Verksamhetsskydd handlar om att skydda en organisations interna funktioner och resurser – ofta lokala och verksamhetsspecifika. Här finns utrymme att väga kostnader mot risk och till och med acceptera hög risk, eftersom konsekvenserna i huvudsak bärs av verksamheten själv. Till exempel kan ett företag välja att acceptera en viss risk i sin produktionskedja om det leder till lägre kostnader och ökad vinst.

Säkerhetsskydd, å andra sidan, handlar om att skydda exempelvis information, system, funktioner och anläggningar som är avgörande för Sveriges säkerhet. Här finns inget utrymme för riskaptit. Begreppet riskaptit, som innebär en medveten acceptans av vissa risker för att uppnå fastställda mål, ekonomiska intressen eller operationella behov, har inget att göra inom säkerhetsskydd, där syftet alltid är att minimera risker till en så låg nivå som möjligt. Där verksamhetsskyddets konsekvenser sannolikt begränsas till enskilda organisationer eller aktörer är säkerhetsskyddets konsekvenser av sådan karaktär att de kan påverka hela nationen. Klarspråk; bristande säkerhetsskydd äventyrar samhällsviktiga funktioner och kritisk infrastruktur. Denna grundprincip får aldrig förhandlas bort, oavsett verksamhetskrav eller ekonomiska överväganden.

Varför brister förståelsen hos ledningen?

En av de största utmaningarna är att myndighetschefer och den högsta ledningen inte har tillräcklig förståelse för vad säkerhetsskydd egentligen innebär. I många fall är säkerhetsskydd sannolikt något som inte prioriteras tillräckligt på dagordningen av de enkla anledningarna att det uppfattas som obekant, abstrakt och svårintegrerat – vilket i sin tur leder till att det behandlas som en administrativ fråga snarare än en strategisk prioritet. Detta resulterar i att säkerhetsskydd inte ses som en integrerad del av organisationens kärnuppdrag, utan som en ”kostnad” eller en ”byråkratisk börda” som kan skalas ner eller ignoreras. Denna inställning är direkt farlig, om än vanligt förekommande. Bristande förståelse och prioritering av säkerhetsskydd leder till svagheter som kan utnyttjas av antagonistiska aktörer, vare sig det är främmande makt, organiserad brottslighet, cyberkriminella eller insiderhot. Att inte förstå säkerhetsskyddets roll som en nationell skyldighet riskerar att äventyra Sveriges säkerhet, vilket kan leda till avbrott i samhällsviktiga tjänster, röjande av säkerhetsskyddsklassificerade uppgifter och försvagad motståndskraft mot hot.

Så skapar vi förändring

För att säkerställa att säkerhetsskydd tas på allvar behöver vi skapa en kultur där säkerhetsskydd är en integrerad del av myndighetsledningens ansvar och beslut – inte bara på pappret.

  1. Utbildning, medvetenhet och engagemang: Myndighetschefer – men även chefer på alla nivåer – måste delta i obligatoriska utbildningar om säkerhetsskyddets betydelse och dess koppling till Sveriges säkerhet. Detta är inte bara en fråga om kunskap, utan om att skapa en gemensam grund för ett enhetligt säkerhetsarbete. Genom att bygga en ledningskultur med starkt engagemang skapas en ”trickle-down effect” som sprider engagemang i alla led. Nyligen föreslogs det i en nyhetsartikel att Försvarshögskolan skulle kunna ta ledningen i denna uppgift – ett initiativ som jag starkt välkomnar.
  2. Ansvarsfördelning: Ledningen måste ta det yttersta ansvaret – och hållas ansvariga – för att säkerhetsskyddet inte bara upprätthålls utan kontinuerligt utvecklas, med regelbundna uppföljningar och oberoende granskningar.
  3. Säkerhetsskyddschefens mandat: Säkerhetsskyddschefer måste ges ett tydligt mandat att vara nej-sägare när så krävs, utan att riskera att ses som bromsklossar eller bakåtsträvare. För att upprätthålla ett effektivt skydd krävs även en dimensionerad säkerhetsskyddsorganisation som både har kompetens och stöd för att agera i linje med nationella intressen.
  4. Tydliga riktlinjer: Säkerhetsskydd måste integreras i organisationens strategiska styrdokument och behandlas som en central del av verksamhetens långsiktiga styrning, inte som en administrativ detalj som kan förbises eller kringgås.
  5. Lärdomar från incidenter: Myndigheter måste dra nytta av tidigare misstag och använda dessa som lärdomar för att förbättra sina processer. Detta är särskilt viktigt i en tid då hotbilder snabbt förändras och kräver anpassning. Här kan en centraliserad och standardiserad utbildning vid Försvarshögskolan spela en nyckelroll.

Säkerhetsskydd: Ett nationellt ansvar

Säkerhetsskydd är inte en lokal fråga för enskilda myndigheter eller organisationer – det är en fråga om nationens säkerhet. Det handlar inte bara om att efterleva en lag eller uppfylla en administrativ formalitet, utan om att skydda Sveriges mest grundläggande värden – från samhällsviktiga tjänster och kritisk infrastruktur till, i förlängningen, medborgarnas trygghet. För att möta en alltmer komplex hotbild är det avgörande att säkerhetsskyddet är heltäckande, överlappande, enhetligt och prioriterat på högsta nivå. När säkerhetsskydd brister, som vi har sett i flera uppmärksammade incidenter, är det inte bara verksamheter som påverkas, utan även förtroendet för vårt samhälles motståndskraft. Ledare på alla nivåer – i synnerhet myndighetschefer – har därför ett ansvar att inte bara förstå säkerhetsskyddets betydelse utan också agera för att stärka det.

Det finns ett talesätt som lyder: ”En gång är ingen gång, två gånger är en vana.” Skulle det då innebära att tre gånger är ett mönster? Vi har inte råd att låta detta mönster få fäste – det riskerar att undergräva Sveriges säkerhet. Säkerhetsskyddet måste stärkas nu genom utbildning samt tydligt och engagerat ledarskap. För i slutändan är det ledarskapet som kommer att avgöra om säkerhetsskyddet blir en prioritet – eller en nationell sårbarhet.

Författaren är tidigare underrättelseofficer med specialisering inom HUMINT (Human Intelligence), med över 15 års erfarenhet inom underrättelseverksamhet och säkerhetstjänst, huvudsakligen från befattningar inom den Militära underrättelse- och säkerhetstjänsten (Must).