Om säkerhetsskyddarbetet

För alla i Sverige som bedriver säkerhetskänslig verksamhet gäller säkerhetsskyddslagen (2018:585) och säkerhetsförordningen (2018:658). Den nya lagstiftningen trädde i kraft den 1 april 2019.

För företag i elförsörjningen gäller därutöver även Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2019:2), Försvarsmaktens föreskrifter om signalskyddstjänsten (FFS 2019:09) samt Affärsverket svenska kraftnäts föreskrifter om säkerhetsskydd och allmänna råd om säkerhetsskydd (SvKFS 2019:1).

Den nya säkerhetsskyddslagstiftningen tydliggör skyldigheter för verksamhetsutövare inom elsektorn

Här följer en kort sammanfattning av olika områden, med hänvisningar till den lagstiftning som gäller från 1 april 2019. Säkerhetspolisen har även gett ut ett antal vägledningar som stöd för verksamheter som omfattas av säkerhetsskyddslagstiftningen.

Säkerhetspolisens webbplats. (.html) Ladda ner

Vid säkerhetskänslig verksamhet ska det finnas en säkerhetsskyddschef som kontrollerar att verksamhetens säkerhetsskyddsarbete bedrivs i enlighet med säkerhetsskyddslagstiftning.

Säkerhetsskyddsförordningen, 2 kap. § 2 på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetsskyddsanalys ska göras

Verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska göra en säkerhetsskyddsanalys. Analysen är en utgångspunkt för det fortsatta arbetet med säkerhetsskyddsåtgärder och analysen ska identifiera vilka säkerhetsskyddsklassificerade uppgifter som finns i verksamheten samt vilka delar av verksamheten som är skyddsvärda.

Analysen ska även bedöma huruvida verksamheten omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd samt vad övrigt inom verksamheten som behöver säkerhetsskydd. 

Säkerhetsskyddslagen (2018:585) 2 kap. §§ 1 och 5 på riksdagens webbplats. Öppnas i nytt fönster 

Säkerhetsskyddsförordningen (2018:658) 2 kap. § 1 på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetspolisens föreskrifter om säkerhetsskydd 2 kap. §§ 1-4. (.pdf) Öppnas i nytt fönster

Vid förändringar som kan antas betydligt påverka den säkerhetskänsliga verksamheten, ska verksamhetsutövaren göra en särskild säkerhetsskyddsbedömning. En sådan bedömning kan behöva göras till exempel vid nyetablering eller förändring av verksamhet/säkerhetskänsliga system.

Säkerhetsskyddsförordningen 3 kap. § 1 på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetspolisens föreskrifter om säkerhetsskydd 2 kap. § 12. (.pdf) Öppnas i nytt fönster

Säkerhetsskyddsåtgärder ska utformas

Verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska vidta lämpliga skyddsåtgärder inom områdena informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Informationssäkerhet

Informationssäkerhet syftar till att förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs samt förebygga skadlig inverkan i säkerhetskänsliga IT- eller kommunikationssystem.

Information i den säkerhetskänsliga verksamheten ska bedömas och klassificeras enligt den nya lagstiftningens krav, vilket är en utgångspunkt för hur informationen ska hanteras i IT-system och hur systemen ska utformas.

Säkerhetsskyddslagen 2 kap. § 2 på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetsskyddsförordningen 3 kap. § 4 på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetspolisens föreskrifter om säkerhetsskydd 4 kap. (.pdf) Öppnas i nytt fönster

Fysisk säkerhet

Fysisk säkerhet syftar till att upptäcka, försvåra och hantera obehörigt tillträde eller skadlig inverkan.

Detta kan ske exempelvis genom kameraövervakning, fysiskt eller mekaniskt skydd eller genom insatser från skyddsvakt eller polis.

Säkerhetsskyddsanalysen är ett viktigt verktyg för att dimensionera skyddet.

Säkerhetsskyddslagen 2 kap. § 3 samt 3 kap. på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetsskyddsförordningen 5 kap. på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetspolisens föreskrifter om säkerhetsskydd 5 kap. (.pdf) Öppnas i nytt fönster

Personalsäkerhet

Personalsäkerhet syftar till att endast personer som bedöms vara pålitliga ur säkerhetssynpunkt får tillgång till säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet.  Detta görs genom en säkerhetsprövning. Säkerhetsprövningen består av tre delar; registerkontroll, referenser och säkerhetsprövningsintervju.

Elsektorns aktörer ska skicka framställan om registerkontroll till Svenska kraftnät. Registerkontrollen utförs av Säkerhetspolisen efter begäran från Svenska kraftnät.

From 1 april 2019 är det Säkerhetspolisens blanketter om framställan om registerkontroll samt bilaga särskild personutredning (för säkerhetsklass 2 och 3) som gäller.

Dessa blanketter finns på Säkerhetspolisens webbplats och ska skickas in till Svenska kraftnätt. (.html) Ladda ner

Därutöver behöver en framställan om registerkontroll kompletteras med en bekräftelse på att lämplighetsbedömning är genomförd samt att samtycke är inhämtat, vilket görs på en särskild blankett som finns på Svenska kraftnäts webbsida.

Möjligheten att genomföra registerkontroll utan placering i säkerhetsklass (så kallad §14–kontroll för skydd mot terrorism) togs bort 1 april. Aktiva registerkontroller gjorda enligt §14 övergick automatiskt till säkerhetsklass 3. Inga nya framställan om kontroll enligt §14 behandlas efter 1 april.

Säkerhetsskyddslagen 2 kap. § 4 på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetsskyddsförordningen 5 kap. på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetspolisens föreskrifter om säkerhetsskydd 6 kap. (.pdf) Öppnas i nytt fönster

Verksamhetsutövarens rutiner och regelverk

Verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska ha ett dokumenterat regelverket för att upprätthålla verksamhetens säkerhetsskydd och säkerställa att det finns adekvata rutiner, resurser och kompetenser för att upprätthålla skyddet samt de funktioner som krävs för att upprätthålla kontinuiteten i den säkerhetskänsliga verksamheten.

Verksamhetsutövare ska regelbundet identifiera brister och sårbarheter. Verksamhetsutövaren ska kontrollera och följa upp säkerhetsskyddsarbetet och dokumentera åtgärderna i en åtgärdsplan.

Relevant utbildning ska ges till den som deltar i säkerhetskänslig verksamhet redan innan personen får åtkomst till verksamheten, därefter ska sådan utbildning ges regelbundet.

Säkerhetspolisens föreskrifter om säkerhetsskydd 2 kap. §§ 13-26. (.pdf) Öppnas i nytt fönster

Hantering av säkerhetsskyddsklassificerade uppgifter

Den nya säkerhetsskyddslagstiftningen ställer krav på hur säkerhetsskyddsklassificerade uppgifter ska klassificeras, märkas, behandlas, förvaras, distribueras och förstöras samt hur ofta handlingar som innehåller säkerhetsskyddsklassificerade uppgifter ska inventeras.

Säkerhetsskyddslagen 2 kap. § 5 på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetsskyddsförordningen 3 kap. §§ 7-10 på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetspolisens föreskrifter om säkerhetsskydd 3 kap. (.pdf) Öppnas i nytt fönster

Kryptografiska funktioner

Säkerhetsskyddsklassificerade uppgifter som kommuniceras till ett system utanför företagets kontroll (exempelvis kommunikationslänkar mellan olika lokalkontor, stationer och anläggningar som är geografiskt spridda) ska skyddas av kryptografiska funktioner som Försvarsmakten har godkänt.

I sådana fall ska verksamhetsutövaren vända sig till Myndigheten för samhällsskydd och beredskap (MSB). Verksamhetsutövare inom elsektorn ska vid anskaffning av kryptografisk utrustning informera Svenska kraftnät.  

Säkerhetsskyddsavtal (SUA)

Om det i en upphandling eller då en verksamhetsutövare ingår ett avtal om exempelvis en byggentreprenad där det förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller om leverantören ges tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet, ska ett säkerhetsskyddsavtal upprättas.

Elföretag som avser att ingå ett säkerhetsskyddsavtal med leverantör ska anmäla detta till Svenska kraftnät. En sådan anmälan ska göras innan företaget tecknat säkerhetsskyddsavtal med leverantören (och eventuellt underleverantörer).  

Anmälan att man har ingått säkerhetsskyddsavtal med leverantör görs till Säkerhetspolisen. Blanketten för anmälan tillhandahålls av Säkerhetspolisen. Verksamhetsutövaren ska även sända samma information för kännedom till Svenska kraftnät.

När säkerhetsskyddsavtalet upphör att gälla, ska elföretaget anmäla det till Säkerhetspolisen. Verksamhetsutövaren ska även sända samma information för kännedom till Svenska kraftnät. De registerkontroller som tillhör avtalet ska avanmälas till Svenska kraftnät.

Säkerhetsskyddslagen 2 kap.  § 6 på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetsskyddsförordningen 2 kap. §§ 5 och 7 på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetspolisens föreskrifter om säkerhetsskydd 7 kap. (.pdf) Öppnas i nytt fönster

Kravet på SUA gäller även vid anlitande av utländska aktörer

Kravet på säkerhetsskyddsavtal gäller även om verksamhetsutövaren anlitar utländska leverantörer. Då en utländsk leverantör ska hantera säkerhetsskyddsklassificerade uppgifter bör det även finnas en internationell överenskommelse mellan Sverige och landet i fråga.

De internationella överenskommelserna finns på regeringens webbplats.

Säkerhetsskyddsförordningen 3 kap. § 9 på riksdagens webbplats. Öppnas i nytt fönster

Har du frågor om den nya lagstiftningen kan du skicka din fråga till oss via e-post: Sakerhetsskyddslagen@svk.se.

Vi kommer att publicera svar på ofta ställda frågor på sidan ”Frågor och Svar”.

Nya lagstiftningen medför även anmälnings- och samrådsskyldighet för verksamhetsutövare som bedriver säkerhetskänslig verksamhet

Här följer en sammanfattning av de krav som gäller för verksamhetsutövare inom elsektorn.

Särskilt säkerhetskänslig verksamhet, det vill säga verksamhet där en antagonistisk handling bedöms kunna få synnerligen allvarlig eller allvarlig skada för Sveriges säkerhet ska rapporteras till Svenska kraftnät. Då informationen kan vara säkerhetskänslig bör den överföras på ett säkert sätt, exempelvis genom rekommenderat brev eller personligt möte.

Säkerhetspolisens föreskrifter om säkerhetsskydd 2 kap. § 6 på riksdagens webbplats. (.pdf) Öppnas i nytt fönster

Om en säkerhetsskyddsklassificerad uppgift kan ha röjts, om det inträffat en IT-incident i ett informationssystem av betydelse för säkerhetskänslig verksamhet eller om det finns misstanke om en annan säkerhetshotande verksamhet ska en anmälan göras skyndsamt till Säkerhetspolisen.

Verksamhetsutövaren ska även sända samma information för kännedom till Svenska kraftnät. Verksamhetsutövare ska även informera och vid behov samråda med de uppdragsgivare som berörs av incidenten.

Säkerhetsskyddslagen 2 kap. § 1, tredje stycket på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetsskyddsförordningen 2 kap. §§ 10-11 på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetspolisens föreskrifter om säkerhetsskydd 2 kap §§ 22-25. (.pdf) Öppnas i nytt fönster

Innan ett IT-system som kan komma att behandla säkerhetskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre tas i drift (eller om obehörig åtkomst kan medföra en skada för Sveriges säkerhet som inte är obetydlig) eller i väsentliga avseenden förändras, ska verksamhetsutövaren skriftligen samråda med Säkerhetspolisen. Verksamhetsutövaren ska också delge Svenska kraftnät de skriftliga samrådshandlingarna. Detta gäller även i de fall där obehörig åtkomst till systemet kan medföra en skada för Sveriges säkerhet som inte är obetydlig.

Säkerhetsskyddsförordningen, 3 kap. § 2 på riksdagens webbplats. Öppnas i nytt fönster

Säkerhetspolisens föreskrifter om säkerhetsskydd 4 kap. § 8 på riksdagens webbplats. (.pdf) Öppnas i nytt fönster

Granskad