Säkerhetsskyddet för Sverige är högaktuellt och med det kommer införande av den nya Säkerhetsskyddslagen. Vad innebär det egentligen? Nedan följer en enklare sammanfattning av vad arbetet med säkerhetsskydd omfattar.

Utveckling av det säkerhetspolitiska läget

Rysslands annektering av Krim 2014 chockade hela Europa, och med det ändrade hela säkerhetsläget i kontinenten, framför allt i Rysslands närområde. Det innebar också ett uppvaknande för hur vi borde se på det svenska säkerhetsskyddet.

Under 2015 tog Sveriges riksdag beslut om den försvarspolitiska inriktningen för den kommande femårsperioden. Behovet av att öka den svenska försvarsförmågan innebar att totalförsvaret, som består av militärt försvar och civilt försvar, måste rustas upp och byggas ut.

Under 2017 blev känslig information från Transportstyrelsen tillgänglig för icke säkerhetskontrollerad personal i utlandet. Det handlade om hela det svenska registret över körkort, inklusive bilder, och även känslig information om broar, tunnelbana, vägar och hamnar i Sverige. Denna händelse var ett resultat av en, ur säkerhetssynpunkt, slarvigt genomförd upphandling för hanterande av sekretesskyddad information.

Med detta som bakgrund trädde den 1 april 2019 en ny säkerhetsskyddslag och säkerhetsskyddsförordning i kraft för att möta förändrade behov av säkerhetsskydd. Den nya lagstiftningen har ett bredare tillämpningsområde för att ge skydd för Sveriges mest skyddsvärda verksamheter i både privat och offentlig verksamhet.

Under 2021 har större förändringar i säkerhetsskyddslagstiftningen skett och under 2022 har arbetet med återuppbyggnad av totalförsvaret ytterligare intensifierats.

Vad är Säkerhetsskydd

Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. (1 kap. 2 § nya säkerhetsskyddslagen).

Man brukar säga att det handlar om att skydd av det mest skyddsvärda i samhället.

Säkerhetsskyddet regleras i Säkerhetsskyddslagen och säkerhetsskyddsförordningen (se referenser nedan). Till lagstiftningen finns också kompletterande bestämmelser och i form av föreskrifter från Försvarsmakten och Säpo.

För vem gäller säkerhetslagstiftningen

Säkerhetsskyddslagstiftningen gäller för alla som bedriver säkerhetskänslig verksamhet, det vill säga verksamhet som är av betydelse för Sveriges säkerhet eller som Sverige har förbundit sig att skydda genom internationella åtaganden.

Säkerhetsskyddslagstiftningen gäller såväl offentlig som privat verksamhet.

Den som bedriver säkerhetskänslig verksamhet kallas i säkerhetsskyddslagen för verksamhetsutövare. Verksamhetsutövaren ansvarar för att utreda om den verksamhet man bedriver är säkerhetskänslig och för att dokumentera verksamhetens behov av säkerhetsskydd. Verksamhetsutövaren ansvarar också för att planera och vidta de säkerhetsskyddsåtgärder som behövs. Verksamhetsutövaren ska också anmäla till tillsynsmyndigheten att den bedriver säkerhetskänslig verksamhet.

Verksamhetsutövaren ska även kontrollera säkerhetsskyddet i den egna verksamheten, anmäla och rapportera sådant som är av vikt för säkerhetsskyddet och i övrigt vidta de åtgärder som krävs enligt säkerhetsskyddslagstiftningen.

Att notera är att varje enskilt företag som utgör en egen juridisk person är att anse som en separat verksamhetsutövare, oavsett om företagen ingår i samma koncern. Det innebär att varje verksamhetsutövare, såsom ett aktiebolag som bedriver säkerhetskänslig verksamhet, ansvarar för sin säkerhetskänsliga verksamhet och de skyldigheter som följer av lagstiftning och föreskrifter.

Som stöd i arbetet med säkerhetsskydd har Säkerhetspolisen tagit fram ett antal vägledningar, Säkerhetspolisens föreskrifter om säkerhetsskydd (se referenser nedan).

De verksamheter som har betydelse för Sveriges säkerhet ryms alla inom en eller flera av följande kategorier:

Verksamheter som har betydelse för Sveriges yttre säkerhet
Sveriges yttre säkerhet: Sveriges förmåga att upprätthålla nationellt försvar (territoriell suveränitet) samt Sveriges integritet, oberoende och handlingsfrihet (politisk självständighet).
Verksamheter som har betydelse för Sveriges inre säkerhet
Sveriges inre säkerhet: Sveriges förmåga att upprätthålla och säkerställa grundläggande strukturer i form av det demokratiska statsskicket, rättsväsendet och en brottsbekämpande förmågan på nationell nivå
Nationellt samhällsviktiga verksamheter
Nationellt samhällsviktig verksamhet: Leveranser, tjänster och funktioner som är nödvändiga för samhällets funktionalitet på nationell nivå.
Verksamheter som har betydelse för Sveriges ekonomi
Sveriges ekonomi: Den nationella betalningsförmåga.
Skadegenererande verksamheter
Skadegenerande verksamhet: En verksamhet som, om den utsätts för en antagonistisk handling, kan generera skadekonsekvenser på andra säkerhetskänsliga verksamheter.

Sverige har också verksamheter som omfattas av ett internationellt åtagande om säkerhetsskydd efter att ha ingått ett antal internationella överenskommelser om säkerhetsskydd, såväl bilaterala som multilaterala, med andra stater och internationella organisationer. Här handlar det främst om åtaganden om att skydda uppgifter, men även verksamheter där det förekommer sådana uppgifter, vilket alltså omfattas av begreppet säkerhetskänslig verksamhet och ska följa bestämmelserna i säkerhetsskyddslagen.

Vilka skyldigheter har en verksamhetsutövare

Om en organisation bedriver säkerhetskänslig verksamhet, så ska det utses en säkerhetsskyddschef för organisationen. Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet samt kontrollera att verksamheten bedrivs enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till lagen. Detta ansvar kan inte delegeras. Säkerhetsskyddschefen ska också vara placerad så att denne är direkt underställd chefen eller ledningen för verksamhetsutövarens verksamhet.

Den utökade säkerhetsskyddslagstiftningen innebär också att säkerhetsskyddsavtal blir aktuellt i fler situationer, samt att särskild säkerhetsskyddsbedömning och lämplighetsbedömning inför utkontraktering kommer behöva göras.

Vidare är organisationer som bedriver säkerhetskänslig verksamhet skyldiga att ta fram en säkerhetsskyddsanalys och en säkerhetsskyddsplan, samt vidta åtgärder i enlighet med detta. Säkerhetsskyddsarbetet ska vara ett ständigt pågående arbete. Det bygger på en kontinuerlig identifiering av skyddsvärda tillgångar, säkerhetsskyddsanalys, uppdatering av säkerhetskyddsplanen, utformning av skyddet, vidtagna åtgärder och uppföljning, detta är själva hjärtat i säkerhetsskyddsarbetet.

Utöver detta ska följande hanteras löpande i organisationen:

Anmäla säkerhetskänslig verksamhet
Anmäla säkerhetshotande händelser och aktiviteter
Anmäla SUA-avtal
I vissa fall ingå ett säkerhetsskyddsavtal om annan aktör kan få tillgång till säkerhetskänslig verksamhet
I vissa fall samråda inför driftsättning av IT-system, överlåtelser, utkontraktering och andra liknande förfaranden
Säkerhetspröva, inklusive i många fall registerkontrollera, personal
Utöva egenkontroll av säkerhetsskyddet

Vilka Säkerhetsskyddsåtgärder bör man ta

De åtgärder som ska vidtas enligt gällande lagstiftning och föreskrifter och som också ska ligga till grund för säkerhetsskyddsanalysen och senare säkerhetsskyddsplanen, kan delas in i följande områden.

Informationssäkerhet, åtgärder ska:

förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs.
förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

Fysisk säkerhet, åtgärder ska:

förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs.
förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt.

Personalsäkerhet, åtgärder ska:

förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs.
säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.

När krävs Säkerhetsskyddsavtal

Ett säkerhetsskyddsavtal krävs när en Säkerhetsskyddad upphandling (SUA) ska genomföras.

Det finns en skyldighet för statliga myndigheter, kommuner och regioner att ingå säkerhetsskyddsavtal när de avser att genomföra en upphandling och ingå avtal om varor, tjänster eller byggentreprenader som aktualiserar säkerhetsskydd.

Det gäller upphandlingar i vilka det förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse. Detsamma gäller enskilda verksamhetsutövare som ingår avtal med utomstående leverantörer.

Säkerhetsklassad befattning

En säkerhetsklassad befattning definieras och föds indirekt ur en säkerhetsanalys där en organisation definierat sina hot och risker mot den säkerhetskänsliga verksamheten. Det är i samma stund detta dokument pekar på ett behov av säkerhetsskydd som organisationen också måste definiera vilka befattningar som ska vara inplacerade i säkerhetsklass (nivå 1-3).

Detta definieras i ett efterföljande arbete som kallas befattningsanalys, där man konstaterar vilka befattningar som är i kontakt med vilken del och i vilken utsträckning hanterar det säkerhetskänsliga i verksamheten. Det är sedan befattningarna som säkerhetsklassas i de tre nivåerna där nivå ett är högsta nivån.

När en individ ska inplaceras i en sådan befattning aktualiseras ett lagkrav från säkerhetsskyddslagen om att denna individ, samt även i nivå ett och två närstående, ska säkerhetsprövas och därefter bedömas som lämpliga att vara inplacerade i en sådan befattning.

2023-10-13
Fredrik Martinsson, CTO Areff