Säpo

Säkerhetsskydd

Säkerhetsskydd handlar om att skydda den information och de verksamheter som är av betydelse för Sveriges säkerhet mot spioneri, sabotage, terroristbrott och vissa andra hot. Från den 1 april 2019 gäller en ny säkerhetsskyddslag som omfattar fler verksamheter än tidigare.

Om vissa myndigheter och företag i Sverige utsätts för ett angrepp, kan det orsaka allvarliga konsekvenser för landets säkerhet. Det kan till exempel handla om verksamheter inom totalförsvaret, rättsväsendet, energi- eller vattenförsörjningen, telekommunikationer eller transportsektorn. Dessa verksamheter kan i sitt uppdrag behöva hantera uppgifter som är av betydelse för Sveriges säkerhet. Om dessa uppgifter röjs, förstörs eller ändras kan det inverka på Sveriges säkerhet. Vissa verksamheter kan dessutom behöva ett särskilt skydd mot terrorism. Om de angrips blir konsekvenserna för Sverige mycket allvarliga. De här verksamheterna behöver ett särskilt skydd, säkerhetsskydd.

Säkerhetsskyddet finns reglerat i säkerhetsskyddslagen och säkerhetsskyddsförordningen.

Säkerhetskänslig verksamhet

Säkerhetsskydd handlar om att genom förebyggande arbete skydda säkerhetskänslig verksamhet hos myndigheter och företag mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. Säkerhetskänslig verksamhet är verksamhet som är av betydelse för Sveriges säkerhet eller som Sverige har förbundit sig att skydda genom internationella åtaganden.

I säkerhetsskydd ingår också att skydda uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen, eller som skulle ha omfattats av den lagen om den varit tillämplig. De kallas säkerhetsskyddsklassificerade uppgifter och delas in i fyra säkerhetsskyddsklasser, utifrån vilken skada för Sveriges säkerhet som kan uppstå om de röjs:

  1. kvalificerat hemlig
  2. hemlig
  3. konfidentiell
  4. begränsat hemlig

Säkerhetsskyddsanalys och säkerhetsskyddsåtgärder

Arbetet med säkerhetsskydd börjar med en säkerhetsskyddsanalys. I den utreder verksamheten vad som ska skyddas, mot vilka hot och på vilket sätt. Säkerhetsskyddsanalysen ska visa vilka säkerhetsskyddsåtgärder som behövs. Åtgärderna delas in i informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Säkerhetspolisens roll och ansvar

Säkerhetspolisen utövar tillsyn över säkerhetsskyddet hos de flesta myndigheter och företag. Försvarsmakten är tillsynsmyndighet för vissa verksamheter. Dessutom har ett antal sektorsmyndigheter ett direkt tillsynsansvar för vissa verksamheter.

Säkerhetspolisen inriktar själv sin tillsynsverksamhet och prioriterar då de mest skyddsvärda verksamheterna i samhället. Det innebär att kontrollerna främst är inriktade på de verksamheter där konsekvenserna av ett angrepp skulle vara allvarligast för Sverige som nation. Efter tillsynen ger Säkerhetspolisen förslag på åtgärder som kan förbättra säkerhetsskyddet hos verksamheten.

Säkerhetspolisen ger också löpande råd och stöd till de mest skyddsvärda verksamheterna för att förbättra säkerhetsskyddet i samhället.

Säkerhetspolisen tillhandahåller hotbilder till verksamheterna via de sektorsmyndigheter som har ett tillsynsansvar. I samråd med sektorsmyndigheterna upprättar Säkerhetspolisen även dimensionerande hotbeskrivningar till dem som bedriver särskilt säkerhetskänslig verksamhet. Verksamheterna ska använda sig av hotbilderna och de dimensionerade hotbeskrivningarna i sina bedömningar och när de planerar säkerhetsskyddsåtgärder.

I Säkerhetspolisens uppdrag ingår även att genomföra registerkontroller på begäran av myndigheter, regioner, kommuner och privata aktörer. Registerkontrollen är i regel en del av säkerhetsprövningen som görs innan en person ska arbeta i säkerhetskänslig verksamhet.
Personalsäkerhet

Vid vissa typer av förfaranden eller incidenter är de verksamheter som omfattas av säkerhetsskyddslagen skyldiga att samråda med eller göra en anmälan till Säkerhetspolisen. Skyldigheten gäller:

  • samråd inför driftsättning av informationssystem som ska behandla vissa typer av säkerhetsskyddsklassificerade uppgifter
  • samråd inför att en statlig myndighet gör vissa typer av säkerhetsskyddade upphandlingar
  • anmälan inför överlåtelse av säkerhetskänslig verksamhet till en privat aktör
  • anmälan om att säkerhetsskyddsavtal har ingåtts, ändrats eller slutat gälla
  • incidentanmälan om en säkerhetsskyddsklassificerad uppgift kan ha röjts
  • incidentanmälan vid vissa it-incidenter i informationssystem som har betydelse för säkerhetskänslig verksamhet
  • incidentanmälan vid kännedom eller misstanke om någon annan allvarlig säkerhetshotande verksamhet

Ny lagstiftning inom säkerhetsskydd

Den nya säkerhetsskyddslagen (2018:585) och säkerhetsskyddsförordningen (2018:658) gäller från den 1 april 2019 för alla som bedriver säkerhetskänslig verksamhet. Den omfattar fler verksamheter än tidigare, och i lagstiftningen förtydligas att den gäller både offentliga och privatägda verksamheter.

Säkerhetspolisens föreskrifter och vägledningar

Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2) innehåller mer detaljerade bestämmelser som kompletterar lagstiftningen.

Säkerhetspolisen kommer också att ta fram ett antal vägledningar om säkerhetsskydd, som kan fungera som ett stöd för verksamhetsutövare i tillämpningen av säkerhetsskyddsregelverket. Dessa kommer att publiceras på webbplatsen kring den 1 juni.