Hoppa till huvudinnehåll
Sök

Ny säkerhetsskyddslags­tiftning

Den nya säkerhetsskyddslagen (2018:585), -förordningen (2018:658) samt Säkerhetspolisens föreskrifter (PMFS 2019:2) gäller för alla som bedriver säkerhetskänslig verksamhet, det vill säga dessa gäller även för verksamhetsutövare inom elsektorn.

Försvarsmaktens kommande föreskrifter om signalskyddstjänsten (FFS 2019:xx) samt Svenska kraftnäts föreskrifter om säkerhetsskydd omfattar även elsektorns aktörer.

Svenska kraftnäts föreskrifter kompletterar Säkerhetspolisens föreskrifter, som i sin tur kompletterar säkerhetsskyddslagen och -förordningen. 

Den nya säkerhetsskyddslagstiftningen tydliggör skyldigheter för verksamhetsutövare inom elsektorn

Här följer en kort sammanfattning av olika områden, med hänvisningar till den lagstiftning som gäller från 1 april 2019. Under våren 2019 kommer Säkerhetspolisen ge ut ett antal vägledningar som stöd för verksamheter som omfattas av säkerhetsskyddslagstiftningen.

Vid säkerhetskänslig verksamhet ska det finnas en säkerhetsskyddschef som kontrollerar att verksamhetens säkerhetsskyddsarbete bedrivs i enlighet med säkerhetsskyddslagstiftning.

Säkerhetsskyddsförordningen, 2 kap. § 2 på riksdagens webbplats (nytt fönster)

Säkerhetsskyddsanalys ska göras

Verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska göra en säkerhetsskyddsanalys. Analysen är en utgångspunkt för det fortsatta arbetet med säkerhetsskyddsåtgärder och analysen ska identifiera vilka säkerhetsskyddsklassificerade uppgifter som finns i verksamheten samt vilka delar av verksamheten som är skyddsvärda.

Analysen ska även bedöma huruvida verksamheten omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd samt vad övrigt inom verksamheten som behöver säkerhetsskydd. 

Säkerhetsskyddslagen (2018:585) 2 kap. §§ 1 och 5 på riksdagens webbplats (nytt fönster) 

Säkerhetsskyddsförordningen (2018:658) 2 kap. § 1 på riksdagens webbplats (nytt fönster)

Säkerhetspolisens föreskrifter om säkerhetsskydd 2 kap. §§ 1-4 (pdf, nytt fönster)

Vid förändringar som kan antas betydligt påverka den säkerhetskänsliga verksamheten, ska verksamhetsutövaren göra en särskild säkerhetsskyddsbedömning. En sådan bedömning kan behöva göras t.ex. vid nyetablering eller förändring av verksamhet/säkerhetskänsliga system.

Säkerhetsskyddsförordningen 3 kap. § 1 på riksdagens webbplats (nytt fönster)

Säkerhetspolisens föreskrifter om säkerhetsskydd 2 kap. § 12 (pdf, nytt fönster)

Säkerhetsskyddsåtgärder ska utformas

Verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vidta lämpliga skyddsåtgärder inom områdena informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Informationssäkerhet

Informationssäkerhet syftar till att förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs samt förebygga skadlig inverkan i säkerhetskänsliga IT- eller kommunikationssystem.

Information i den säkerhetskänsliga verksamheten ska bedömas och klassificeras enligt den nya lagstiftningens krav, vilket är en utgångspunkt för hur informationen ska hanteras i IT-system och hur systemen ska utformas.

Säkerhetsskyddslagen 2 kap. § 2 på riksdagens webbplats (nytt fönster)

Säkerhetsskyddsförordningen 3 kap. § 4 på riksdagens webbplats (nytt fönster)

Säkerhetspolisens föreskrifter om säkerhetsskydd 4 kap. (pdf, nytt fönster)

Fysisk säkerhet

Fysisk säkerhet syftar till att upptäcka, försvåra och hantera obehörigt tillträde eller skadlig inverkan.

Detta kan ske exempelvis genom kameraövervakning, fysiskt eller mekaniskt skydd eller genom insatser från skyddsvakt eller polis.

Säkerhetsskyddsanalysen är ett viktigt verktyg för att dimensionera skyddet.

Säkerhetsskyddslagen 2 kap. § 3 samt 3 kap. på riksdagens webbplats (nytt fönster)

Säkerhetsskyddsförordningen 5 kap. på riksdagens webbplats (nytt fönster)

Säkerhetspolisens föreskrifter om säkerhetsskydd 5 kap. (pdf, nytt fönster)

Personalsäkerhet

Personalsäkerhet syftar till att endast personer som bedöms vara pålitliga ur säkerhetssynpunkt får tillgång till säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet.  Detta görs genom en säkerhetsprövning. Säkerhetsprövningen består av tre delar; registerkontroll, referenser och säkerhetsprövningsintervju.

Elsektorns aktörer ska skicka framställan om registerkontroll till Svenska kraftnät. Registerkontrollen utförs av Säkerhetspolisen efter begäran från Svenska kraftnät.

From 1 april 2019 är det Säkerhetspolisens blanketter om framställan om registerkontroll samt bilaga särskild personutredning (för säkerhetsklass 2 och 3) som gäller.

Dessa blanketter finns på Säkerhetspolisens webbplats och ska skickas in till Svenska kraftnätt (nytt fönster).

Möjligheten att genomföra registerkontroll utan placering i säkerhetsklass (så kallad §14–kontroll för skydd mot terrorism) försvinner 1 april. Aktiva registerkontroller gjorda enligt §14 övergår automatiskt till säkerhetsklass 3. Inga nya framställan om kontroll enligt §14 kommer att behandlas efter 1 april.

Säkerhetsskyddslagen 2 kap. § 4 på riksdagens webbplats (nytt fönster)

Säkerhetsskyddsförordningen 5 kap. på riksdagens webbplats (nytt fönster)

Säkerhetspolisens föreskrifter om säkerhetsskydd 6 kap. (pdf, nytt fönster)

Verksamhetsutövarens rutiner och regelverk

Verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska ha ett dokumenterat regelverket för att upprätthålla verksamhetens säkerhetsskydd och säkerställa att det finns adekvata rutiner, resurser och kompetenser för att upprätthålla skyddet samt de funktioner som krävs för att upprätthålla kontinuiteten i den säkerhetskänsliga verksamheten.

Verksamhetsutövare ska regelbundet identifiera brister och sårbarheter. Verksamhetsutövaren ska kontrollera och följa upp säkerhetsskyddsarbetet och dokumentera åtgärderna i en åtgärdsplan.

Relevant utbildning ska ges till den som deltar i säkerhetskänslig verksamhet redan innan personen får åtkomst till verksamheten, därefter ska sådan utbildning ges regelbundet.

Säkerhetspolisens föreskrifter om säkerhetsskydd 2 kap. §§ 13-26 (pdf, nytt fönster)

Hantering av säkerhetsskyddsklassificerade uppgifter

Den nya säkerhetsskyddslagstiftningen ställer krav på hur säkerhetsskyddsklassificerade uppgifter ska klassificeras, märkas, behandlas, förvaras, distribueras och förstöras samt hur ofta handlingar som innehåller säkerhetsskyddsklassificerade uppgifter ska inventeras.

Säkerhetsskyddslagen 2 kap. § 5 på riksdagens webbplats (nytt fönster)

Säkerhetsskyddsförordningen 3 kap. §§ 7-10 på riksdagens webbplats (nytt fönster)

Säkerhetspolisens föreskrifter om säkerhetsskydd 3 kap. (pdf, nytt fönster)

Kryptografiska funktioner

Säkerhetsskyddsklassificerade uppgifter som kommuniceras till ett system utanför företagets kontroll (exempelvis kommunikationslänkar mellan olika lokalkontor, stationer och anläggningar som är geografiskt spridda) ska skyddas av kryptografiska funktioner som Försvarsmakten har godkänt.

I sådana fall ska verksamhetsutövaren vända sig till Myndigheten för samhällsskydd och beredskap (MSB). Verksamhetsutövare inom elsektorn bör vid anskaffning av kryptografisk utrustning informera Svenska kraftnät.”  

Säkerhetsskyddsavtal (SUA)

Om det i en upphandling eller då en verksamhetsutövare ingår ett avtal om exempelvis en byggentreprenad där det förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller om leverantören ges tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, ska ett säkerhetsskyddsavtal upprättas.

Elföretag som avser att ingå ett säkerhetsskyddsavtal med leverantör ska anmäla detta till Svenska kraftnät. En sådan anmälan ska göras innan företaget tecknat säkerhetsskyddsavtal med leverantören (och eventuellt underleverantörer).  

Anmälan att man har ingått säkerhetsskyddsavtal med leverantör görs till Säkerhetspolisen. Blanketten för anmälan tillhandahålls av Säkerhetspolisen. Verksamhetsutövaren bör även sända samma information för kännedom till Svenska kraftnät.

När säkerhetsskyddsavtalet upphör att gälla, ska elföretaget anmäla det till Säkerhetspolisen. Verksamhetsutövaren bör även sända samma information för kännedom till Svenska kraftnät. De registerkontroller som tillhör avtalet ska avanmälas till Svenska kraftnät.

Säkerhetsskyddslagen 2 kap.  § 6 på riksdagens webbplats (nytt fönster)

Säkerhetsskyddsförordningen 2 kap. §§ 5 och 7 på riksdagens webbplats (nytt fönster)

Säkerhetspolisens föreskrifter om säkerhetsskydd 7 kap. (pdf, nytt fönster)

Kravet på SUA gäller även vid anlitande av utländska aktörer

Kravet på säkerhetsskyddsavtal gäller även om verksamhetsutövaren anlitar utländska leverantörer. Då en utländsk leverantör ska hantera säkerhetsskyddsklassificerade uppgifter bör det även finnas en internationell överenskommelse mellan Sverige och landet i fråga.

De internationella överenskommelserna finns på regeringens webbplats.

Säkerhetsskyddsförordningen 3 kap. § 9 på riksdagens webbplats (nytt fönster)

Har du frågor om den nya lagstiftningen kan du skicka din fråga till oss via e-post: Sakerhetsskyddslagen@svk.se.

Vi kommer att publicera svar på ofta ställda frågor under ”Frågor och Svar” på vår webbplats.

Nya lagstiftningen medför även anmälnings- och samrådsskyldighet för verksamhetsutövare som bedriver säkerhetskänslig verksamhet

Här nedan följer en sammanfattning av de krav som gäller för verksamhetsutövare inom elsektorn.

Särskilt säkerhetskänslig verksamhet, det vill säga verksamhet där en antagonistisk handling bedöms kunna få synnerligen allvarlig eller allvarlig skada för Sveriges säkerhet ska rapporteras till Svenska kraftnät. Då informationen kan vara säkerhetskänslig bör den överföras på ett säkert sätt, exempelvis genom rekommenderat brev eller personligt möte.

Säkerhetspolisens föreskrifter om säkerhetsskydd 2 kap. § 6 på riksdagens webbplats (pdf, nytt fönster)

Om en säkerhetsskyddsklassificerad uppgift kan ha röjts, om det inträffat en IT-incident i ett informationssystem av betydelse för säkerhetskänslig verksamhet eller om det finns misstanke om en annan säkerhetshotande verksamhet ska en anmälan göras skyndsamt till Säkerhetspolisen.

Verksamhetsutövaren bör även sända samma information för kännedom till Svenska kraftnät. Verksamhetsutövare ska även informera och vid behov samråda med de uppdragsgivare som berörs av incidenten.

Säkerhetsskyddslagen 2 kap. § 1, tredje stycket på riksdagens webbplats (nytt fönster)

Säkerhetsskyddsförordningen 2 kap. §§ 10-11 på riksdagens webbplats (nytt fönster)

Säkerhetspolisens föreskrifter om säkerhetsskydd 2 kap §§ 22-25 (pdf, nytt fönster)

Om verksamhetsutövaren avser att överlåta säkerhetskänslig verksamhet till en enskild, ska det anmälas till Säkerhetspolisen innan överlåtelsen sker. Verksamhetsutövaren bör även sända samma information för kännedom till Svenska kraftnät. Verksamhetsutövaren ska även upplysa den enskilde om att säkerhetsskyddslagen gäller för verksamheten.

Säkerhetsskyddsförordningen 2 kap. § 9 på riksdagens webbplats (nytt fönster)

Innan ett IT-system som kan komma att behandla säkerhetskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre tas i drift (eller om obehörig åtkomst kan medföra en skada för Sveriges säkerhet som inte är obetydlig) eller i väsentliga avseenden förändras, ska verksamhetsutövaren skriftligen samråda med Säkerhetspolisen. Verksamhetsutövaren bör också delge Svenska kraftnät de skriftliga samrådshandlingarna. Detta gäller även i de fall där obehörig åtkomst till systemet kan medföra en skada för Sveriges säkerhet som inte är obetydlig.

Säkerhetsskyddsförordningen, 3 kap. § 2 på riksdagens webbplats (nytt fönster)

Säkerhetspolisens föreskrifter om säkerhetsskydd 4 kap. § 8 på riksdagens webbplats (pdf, nytt fönster)

Granskad