Att slarva med säkerhetsskyddsarbetet kan leda till allvarliga hot mot svenska intressen. Och det kan också leda till dryga sanktionsavgifter. Finansinspektionen ökar kontrollerna av hur finansbranschen efterlever reglerna.
Halszka Onoszko, chef för säkerhetsskyddstillsyn på Finansinspektionen Foto: Anna Nildén
En allt mer komplex hotbild mot Sverige har gjort att säkerhetsskyddsfrågor har hamnat högt upp på agendan de senaste åren, både i privat och offentlig sektor. Riskerna är flera och det är också flera länder som bedöms ha illasinnade avsikter där finansmarknadens aktörer är en utpekad måltavla.
– Vi vet att det allvarliga omvärldsläget ökar risken för att det finansiella systemet utsätts för angrepp i form av cyberattacker, desinformation eller infiltration och sabotage. Ett omfattande avbrott i det finansiella systemet kan givetvis hota den finansiella stabiliteten vilket i sin tur kan få konsekvenser för Sveriges säkerhet, säger Halszka Onoszko, chef för säkerhetsskyddstillsyn på Finansinspektionen.
Finansinspektionen (FI) är en av de myndigheter, vid sidan av Försvarsmakten och Säpo, som fått ett särskilt tillsynsansvar när det gäller säkerhetsskyddsfrågor. Specifikt gäller det bolag inom finansbranschen, oavsett om det är banker eller andra institut.
Företagens ansvar
Hittills är det ett tiotal finansiella företag som har meddelat att de bedriver säkerhetskänslig verksamhet. Det exakta antalet är hemligt. Ytterst vilar ansvaret på varje företag att göra en egen analys om någon del av verksamheten faller in under säkerhetsskyddslagstiftningen eller inte.
– Lagstiftningen är uppbyggd så att det är företagen själva som primärt ska göra de här bedömningarna. Bland annat den initiala, om man bedriver eller inte bedriver säkerhetskänslig verksamhet, säger Halszka Onoszko.
FI kan i dagsläget inte uttala sig om ifall antalet bolag som bedriver säkerhetskänslig verksamhet borde öka ytterligare. Men i en rapport till regeringen från september 2024 pekar FI på att det kan finnas incitament för företagen att klassificera sig på en lägre nivå och exempelvis komma fram till att en antagonistisk handling mot verksamheten endast kan medföra en "ringa skada för Sveriges säkerhet". Konkret handlar det om att företagen då slipper ett antal kostsamma pålagor, som att placera personal i olika säkerhetsklasser.
FI har under året inlett en tillsynsundersökning på området som gäller en av de svenska storbankerna. Det är inte klart när undersökningen kommer att slutföras men det är troligt att branschen kommer att studera slutsatserna noga. Post- och telestyrelsen, som också är en tillsynsmyndighet enligt säkerhetsskyddslagstiftningen, har inom ramen för sitt tillsynsarbete påfört en av de större svenska teleoperatörerna en sanktionsavgift på 12,5 miljoner kronor för brister i sitt säkerhetsskyddsarbete, ett beslut som Kammarrätten i Stockholm ställde sig bakom i en dom från oktober i år.
Säkerhetsskyddsarbetet behöver stärkas
– Det är för tidigt att säga något om de faktiska bedömningar som gjorts i vår bransch. Men redan i december 2023 konstaterade vi i en rapport att många aktörer behöver stärka sitt säkerhetsskyddsarbete ytterligare. Tyvärr blir det för känsligt att specificera vad som är bra och vad som behöver förbättras, säger Halszka Onoszko.
Konkret kan behoven hos olika finansiella företag se väldigt olika ut. Det är därför som den inledande analysen måste tas på allvar. I denna ska man bland annat bedöma behov av åtgärder kopplade till personalsäkerhet, informationssäkerhet och fysisk säkerhet. Ytterst ligger ansvaret för analysen på vd-nivå och om en säkerhetskänslig verksamhet konstateras ska en säkerhetsskyddschef utses som rapporterar direkt till vd. När det gäller personalsäkerhet specifikt ska de olika rollerna klassificeras efter sitt deltagande i verksamheten och med detta följer också ett behov att för vissa roller göra bakgrundskontroller med säkerhetsprövningsintervjuer och ibland även registerkontroll.
– Det måste finnas en organisation som ansvarar för säkerhetsskyddsarbetet. Bolagen ska avsätta tillräckligt med resurser och rutiner bör införas i den löpande verksamheten och riskhanteringen genom styrdokument, mandat och regelbunden rapportering, säger Halszka Onoszko.
Finansinspektionen fick det nya tillsynsuppdraget för tre år sedan och under den första tiden har myndigheten också lagt ner resurser på att vägleda branschen i de regler som gäller.
– Om det är en aktör som står under vår tillsyn så är de varmt välkomna att vända sig till oss. Vi har ett uppdrag där vi har en skyldighet att vägleda i säkerhetsskyddsfrågor inom vårt tillsynsområde. Vi har också genomfört flera informationsaktiviteter så här i början för att exempelvis stötta företagen i hur viss information ska skickas till oss.
Comentarios