Ett säkerhetsskydd i förändring
Säkerhetsskyddet för Sverige är högaktuellt och med det kommer införande av den nya Säkerhetsskyddslagen. Vad innebär det egentligen?
Nedan följer en enklare sammanfattning av vad arbetet med säkerhetsskydd omfattar.
Rysslands annektering av Krim 2014 chockade hela Europa, och med det ändrade hela säkerhetsläget i kontinenten, framför allt i Rysslands närområde. Det innebar också ett uppvaknande för hur vi borde se på det svenska säkerhetsskyddet.
Under 2015 tog Sveriges riksdag beslut om den försvarspolitiska inriktningen för den kommande femårsperioden. Behovet av att öka den svenska försvarsförmågan innebar att totalförsvaret, som består av militärt försvar och civilt försvar, måste rustas upp och byggas ut.
Under 2017 blev känslig information från Transportstyrelsen tillgänglig för icke säkerhetskontrollerad personal i utlandet. Det handlade om hela det svenska registret över körkort, inklusive bilder, och även känslig information om broar, tunnelbana, vägar och hamnar i Sverige. Denna händelse var ett resultat av en, ur säkerhetssynpunkt, slarvigt genomförd upphandling för hanterande av sekretesskyddad information.
Med detta som bakgrund trädde den 1 april 2019 en ny säkerhetsskyddslag och säkerhetsskyddsförordning i kraft för att möta förändrade behov av säkerhetsskydd. Den nya lagstiftningen har ett bredare tillämpningsområde för att ge skydd för Sveriges mest skyddsvärda verksamheter i både privat och offentlig verksamhet.
Under 2021 har större förändringar i säkerhetsskyddslagstiftningen skett och under 2022 har arbetet med återuppbyggnad av totalförsvaret ytterligare intensifierats.
Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. (1 kap. 2 § nya säkerhetsskyddslagen).
Man brukar säga att det handlar om att skydd av det mest skyddsvärda i samhället.
Säkerhetsskyddet regleras i Säkerhetsskyddslagen och säkerhetsskyddsförordningen (se referenser nedan). Till lagstiftningen finns också kompletterande bestämmelser och i form av föreskrifter från Försvarsmakten och Säpo.
Säkerhetsskyddslagstiftningen gäller för alla som bedriver säkerhetskänslig verksamhet, det vill säga verksamhet som är av betydelse för Sveriges säkerhet eller som Sverige har förbundit sig att skydda genom internationella åtaganden.
Säkerhetsskyddslagstiftningen gäller såväl offentlig som privat verksamhet.
Den som bedriver säkerhetskänslig verksamhet kallas i säkerhetsskyddslagen för verksamhetsutövare. Verksamhetsutövaren ansvarar för att utreda om den verksamhet man bedriver är säkerhetskänslig och för att dokumentera verksamhetens behov av säkerhetsskydd. Verksamhetsutövaren ansvarar också för att planera och vidta de säkerhetsskyddsåtgärder som behövs. Verksamhetsutövaren ska också anmäla till tillsynsmyndigheten att den bedriver säkerhetskänslig verksamhet.
Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt säkerhetsskyddslagstiftningen.
Att notera är att varje enskilt företag som utgör en egen juridisk person är att anse som en separat verksamhetsutövare, oavsett om företagen ingår i samma koncern. Det innebär att varje verksamhetsutövare, såsom ett aktiebolag som bedriver säkerhetskänslig verksamhet, ansvarar för sin säkerhetskänsliga verksamhet och de skyldigheter som följer av lagstiftning och föreskrifter.
Som stöd i arbetet med säkerhetsskydd har Säkerhetspolisen tagit fram ett antal vägledningar, Säkerhetspolisens föreskrifter om säkerhetsskydd (se referenser nedan).
De verksamheter som har betydelse för Sveriges säkerhet ryms alla inom en eller flera av följande kategorier:
Sverige har också verksamheter som omfattas av ett internationellt åtagande om säkerhetsskydd efter att ha ingått ett antal internationella överenskommelser om säkerhetsskydd, såväl bilaterala som multilaterala, med andra stater och internationella organisationer. Här handlar det främst om åtaganden om att skydda uppgifter, men även verksamheter där det förekommer sådana uppgifter, vilket alltså omfattas av begreppet säkerhetskänslig verksamhet och ska följa bestämmelserna i säkerhetsskyddslagen.
Om en organisation bedriver säkerhetskänslig verksamhet, så ska det utses en säkerhetsskyddschef för organisationen. Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Detta ansvar kan inte delegeras. Säkerhetsskyddschefen ska också vara placerad så att denne är direkt underställd chefen eller ledningen för verksamhetsutövarens verksamhet.
Den utökade säkerhetsskyddslagstiftningen innebär också att säkerhetsskyddsavtal blir aktuellt i fler situationer, samt att särskild säkerhetsskyddsbedömning och lämplighetsbedömning inför utkontraktering kommer behöva göras.
Vidare är organisationer som bedriver säkerhetskänslig verksamhet skyldiga att ta fram en säkerhetsskyddsanalys och en säkerhetsskyddsplan, samt vidta åtgärder i enlighet med detta. Säkerhetsskyddsarbetet ska vara ett ständigt pågående arbete. Det bygger på en kontinuerlig identifiering av skyddsvärda tillgångar, säkerhetsskyddsanalys, uppdatering av säkerhetskyddsplanen, utformning av skyddet, vidtagna åtgärder och uppföljning, detta är själva hjärtat i säkerhetsskyddsarbetet.
Utöver detta ska följande hanteras löpande i organisationen:
De åtgärder som ska vidtas enligt gällande lagstiftning och föreskrifter och som också ska ligga till grund för säkerhetsskyddsanalysen och senare säkerhetsskyddsplanen, kan delas in i följande områden.
Informationssäkerhet, åtgärder ska:
Fysisk säkerhet, åtgärder ska:
Personalsäkerhet, åtgärder ska:
Ett säkerhetsskyddsavtal krävs när en Säkerhetsskyddad upphandling (SUA) ska genomföras.
Det finns en skyldighet för statliga myndigheter, kommuner och regioner att ingå säkerhetsskyddsavtal när de avser att genomföra en upphandling och ingå avtal om varor, tjänster eller byggentreprenader som aktualiserar säkerhetsskydd.
Det gäller upphandlingar i vilka det förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse. Detsamma gäller enskilda verksamhetsutövare som ingår avtal med utomstående leverantörer.
En säkerhetsklassad befattning definieras och föds indirekt ur en säkerhetsanalys där en organisation definierat sina hot och risker mot den säkerhetskänsliga verksamheten. Det är i samma stund detta dokument pekar på ett behov av säkerhetsskydd som organisationen också måste definiera vilka befattningar som ska vara inplacerade i säkerhetsklass (nivå 1-3).
Detta definieras i ett efterföljande arbete som kallas befattningsanalys, där man konstaterar vilka befattningar som är i kontakt med vilken del och i vilken utsträckning hanterar det säkerhetskänsliga i verksamheten. Det är sedan befattningarna som säkerhetsklassas i de tre nivåerna där nivå ett är högsta nivån.
När en individ ska inplaceras i en sådan befattning aktualiseras ett lagkrav från säkerhetsskyddslagen om att denna individ, samt även i nivå ett och två närstående, ska säkerhetsprövas och därefter bedömas som lämpliga att vara inplacerade i en sådan befattning.
2023-10-13
Fredrik Martinsson, CTO Areff, a part of Seriline Group
Säkerhetsskyddsförordning (2021:955)
https://www.riksdagen.se/sv/dokument-och-lagar/dokument/svensk-forfattningssamling/sakerhetsskyddsforordning-2021955_sfs-2021-955/
Säkerhetspolisens föreskrifter om säkerhetsskydd, PMFS 2019:2
https://polisen.se/siteassets/forfattningssamling/fap-nummer/pmfs-2019-2_web.pdf