De vanligaste bristerna i säkerhetsskyddsarbetet handlar sällan om att det helt saknas, utan om att det inte är tillräckligt aktuellt, förankrat eller omsatt i praktiken. Samtidigt har tillsynerna utvecklats från att granska dokument till att utvärdera faktisk förmåga, genomförande och ledningens engagemang. I en tid av skärpta krav blir förmågan att visa att arbetet fungerar avgörande. Basalts konsult inom säkerhetsskydd, Vincent Lindström, sammanfattar här de skärpta kraven och några av de vanligaste bristerna inom säkerhetssyddsarbetet.
Från vägledning till tydliga krav
Det som tidigare uppfattades som ett område där myndigheter främst gav råd och vägledning har nu utvecklats till en verksamhet där kraven är betydligt tydligare och konsekvenserna betydligt större. Säkerhetspolisen, Försvarsmakten och Länsstyrelserna genomför fler tillsyner än tidigare och ställer högre krav på att verksamheter kan påvisa att säkerhetsskyddsarbetet inte bara finns dokumenterat utan också fungerar i praktiken.
Det förändrade säkerhetspolitiska läget i Sverige och Europa har bidragit till att säkerhetsskydd fått en helt annan betydelse än för bara några år sedan. Hot från främmande makt, cyberangrepp, sabotage, hybridkrigföring och otillbörlig påverkan har gjort att myndigheter ser allvarligare på brister som kan påverka Sveriges säkerhet. Samtidigt har flera uppmärksammade tillsynsärenden och sanktionsavgifter skickat en tydlig signal till både offentliga och privata verksamhetsutövare: säkerhetsskydd är inte längre en administrativ fråga, utan en verksamhetskritisk funktion.
Många verksamheter har under senare år investerat stora resurser i att ta fram säkerhetsskyddsanalyser, riktlinjer och styrande dokument. Utmaningen för verksamheterna är att tillsynsmyndigheterna granskar hur dessa dokument omsätts från teori till praktik. För det räcker inte att kunna visa upp en pärm med styrande dokument om det samtidigt saknas ett fungerande systematisk säkerhetsskyddsarbete med processer för bland annat säkerhetsprövning, utbildning, uppföljning och kontroll.
De vanligaste bristerna i säkerhetsskyddsarbetet
En av de vanligaste orsakerna till brister är att säkerhetsskyddsanalysen inte är aktuell, inte uppdaterad och att den är alltför ytlig. När skyddsvärden, beroenden och hotbilder inte identifieras korrekt påverkas hela det systematiska säkerhetsskyddsarbetet. Resultatet blir ofta att säkerhetskänslig verksamhet inte upptäcks, att säkerhetsklassificeringar blir felaktiga eller att leverantörer får tillgång till skyddsvärden utan att nödvändiga säkerhetsskyddsavtal finns på plats.
Personalsäkerheten är ett annat område som ofta hamnar i fokus under tillsyner. Många verksamheter har god kontroll över registerkontroller och formella beslut, men missar delar av processen som handlar om kontinuerlig uppföljning. Säkerhetssamtal genomförs inte regelbundet och bedömningar dokumenteras bristfälligt. När medarbetare lämnar verksamheten saknas ibland rutiner för avslutande säkerhetssamtal eller återtagande av behörigheter. Det är särskilt problematiskt eftersom människor ofta utgör både den viktigaste säkerhetsresursen och den största sårbarheten.
Även beroendet av externa leverantörer granskas allt hårdare. I takt med att verksamheter digitaliseras och outsourcar funktioner ökar också kraven på kontroll över leverantörskedjan. Flera tillsynsärenden har visat att organisationer inte alltid har tillräcklig insyn i vilka externa aktörer som får tillgång till känslig information, system eller anläggningar. När sådana brister upptäcks kan konsekvenserna bli omfattande, inte minst eftersom ansvaret enligt säkerhetsskyddslagen alltid ligger kvar hos verksamhetsutövaren.
När brister får konsekvenser
För många verksamheter är dock de ekonomiska konsekvenserna det som tydligast illustrerar allvaret. Sanktionsavgifter på flera miljoner kronor har blivit en realitet. Men den direkta avgiften är ofta bara en del av kostnaden. Ett tillsynsärende kan leda till omfattande korrigerande åtgärder, förseningar i verksamheten, ökade krav från kunder och samarbetspartners samt ett skadat förtroende som kan ta lång tid att återuppbygga.
Det som tydligast skiljer framgångsrika verksamheter från de som får omfattande anmärkningar är ofta ledningen och styrelsens engagemang. När säkerhetsskydd ses som en strategisk fråga och integreras i verksamhetsstyrningen skapas bättre förutsättningar att identifiera risker, prioritera resurser och säkerställa efterlevnad. I verksamheter där säkerhetsskydd däremot betraktas som en administrativ sidofunktion blir bristerna ofta synliga när tillsynsmyndigheten granskar verksamheten.
De skärpta tillsynerna är därför inte bara ett uttryck för hårdare myndighetsutövning. De speglar en verklighet där skyddet av Sveriges säkerhet ställer högre krav på både offentliga och privata aktörer. För verksamhetsutövare handlar det inte längre om att förbereda sig för en eventuell tillsyn. Frågan är snarare om verksamheten är tillräckligt mogen för att visa att säkerhetsskyddet fungerar den dag tillsynen genomförs.
Vill ni säkerställa att ert säkerhetsskyddsarbete håller i praktiken?
Kontakta oss på Basalt för en dialog om hur ni kan stärka er förmåga inför kommande tillsyner.