Säkerhetsskyddslagen är ett av de regelverk som berör fler svenska företag än de flesta känner till – och ett vars krav är mer genomgripande än de flesta som berörs förstår förrän de faktiskt analyserat sin verksamhet. Det är inte enbart ett regelverk för försvaret och underrättelsetjänsterna. Det är ett regelverk som träffar infrastrukturoperatörer, it-leverantörer, konsulter och underleverantörer med koppling till statliga uppdrag och en lång rad privata aktörer vars verksamhet – eller vars kunder – hanterar uppgifter av betydelse för Sveriges säkerhet.
Den här artikeln handlar om vad säkerhetsskyddslagen kräver, vilka företag som berörs och hur ett företag som kommit fram till att lagen gäller för dem bör tänka och agera.
Lagens tillämpningsområde – vilka berörs
Säkerhetsskyddslagen gäller för verksamhetsutövare som bedriver säkerhetskänslig verksamhet. Det är en kategori som definieras i lagen och som är bredare än vad namnet antyder.
Säkerhetskänslig verksamhet är verksamhet som är av betydelse för Sveriges säkerhet eller som Sverige enligt internationell överenskommelse är skyldigt att skydda. Det är en definition med två delar som var för sig kan göra en verksamhet berörd.
Den första delen – verksamhet av betydelse för Sveriges säkerhet – träffar ett brett spektrum. Staten och kommunerna är självklart inkluderade. Men det inkluderar också privata aktörer vars verksamhet är samhällsviktig: energileverantörer, operatörer av elektroniska kommunikationsnät, transportinfrastrukturoperatörer, dricksvattenproducenter, hälso- och sjukvårdsaktörer och finansiella infrastrukturoperatörer. Dessa är sektorer vars störning eller haveri påverkar samhällets grundläggande funktioner och som därför betraktas som säkerhetskänsliga.
Den andra delen – internationella åtaganden – inkluderar företag som hanterar säkerhetsskyddsklassificerad information från Nato, EU eller andra internationella organisationer som Sverige har informationssäkerhetsavtal med. Det är en kategori som träffar ett antal svenska försvarsleverantörer och it-säkerhetsföretag med internationella kontrakt.
En viktig utvidgning kom med 2019 års säkerhetsskyddslag: privata företag som ingår avtal med verksamhetsutövare som redan berörs av lagen kan själva bli skyldiga att följa lagen – genom de säkerhetsskyddsavtal som den ursprungliga verksamhetsutövaren är skyldig att teckna med sina leverantörer. Det innebär att kedjan av berörda aktörer är längre än lagens direkta tillämpningsområde antyder.
Säkerhetsskyddets tre delar
Säkerhetsskyddslagen kräver att verksamhetsutövaren vidtar säkerhetsskyddsåtgärder inom tre områden: informationssäkerhet, fysisk säkerhet och personalsäkerhet. Det är tre delar av ett integrerat säkerhetsskydd vars syfte är att förhindra att säkerhetsskyddsklassificerade uppgifter röjs, ändras, görs otillgängliga eller förstörs och att förhindra att terroristbrott och sabotage drabbar verksamheten.
Informationssäkerhet
Informationssäkerhetsdelen av säkerhetsskyddet handlar om att skydda säkerhetsskyddsklassificerade uppgifter från obehörig åtkomst, röjande och manipulation. Det inkluderar kryptering av känslig information, behörighetsstyrning i it-system, loggning och övervakning av åtkomst och en systematisk hantering av informationen under hela dess livscykel – från skapande till destruktion.
Säkerhetsskyddsklassificerade uppgifter delas in i fyra nivåer: kvalificerat hemlig, hemlig, konfidentiell och begränsat hemlig. Nivån avgör hur strängt informationen måste skyddas och vilka tekniska och administrativa åtgärder som är obligatoriska. Kvalificerat hemlig är den högsta nivån och kräver de mest genomgripande skyddsåtgärderna.
It-system som hanterar säkerhetsskyddsklassificerade uppgifter måste godkännas för ändamålet. Det är ett krav som innebär att systemet genomgår en säkerhetsgranskning och att det konfigureras och driftas i enlighet med de krav som Försvarets radioanstalt – FRA – eller Försvarsmakten ställer beroende på informationens klassificeringsnivå. Det är ett krav som ger betydande tekniska och ekonomiska konsekvenser för it-infrastrukturen och som kräver tidigt planering.
Fysisk säkerhet
Fysisk säkerhet handlar om att skydda säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter mot fysiskt intrång, sabotage och terroristbrott. Det inkluderar passerkontroll, inbrottsskydd, kameraövervakning och i många fall zonsindelning av lokalerna med hårdare krav i de zoner där känsligast verksamhet bedrivs.
Säkerhetszoner – skyddsklassade fysiska utrymmen – delas in i nivåerna säkerhetszon 1, 2 och 3 med stigande säkerhetskrav. I säkerhetszon 1 får enbart personal med säkerhetsprövning och specifikt tillstånd befinna sig. Det är ett krav vars praktiska konsekvenser för kontorsutformning, besökshantering och leverantörers tillträde är genomgripande.
Fysisk säkerhet inkluderar också skydd av informationstillgångar i fysisk form – papper, lagringsmedia, utrustning. Utrangering av datorer och lagringsmedia som hanterats säkerhetsskyddsklassificerad information kräver en säker destruktionsprocess som normalt innebär fysisk förstöring snarare än enbart radering.
Personalsäkerhet
Personalsäkerhet är den del av säkerhetsskyddet som handlar om att säkerställa att de personer som har tillgång till säkerhetsskyddsklassificerade uppgifter eller till säkerhetskänslig verksamhet är pålitliga och lämpliga från ett säkerhetsperspektiv.
Det primära instrumentet är säkerhetsprövning – den systematiska kontrollen av en persons bakgrund, lojalitet och lämplighet. Säkerhetsprövningen kan inkludera registerkontroll mot ett antal myndigheters register, en säkerhetsintervju och en bedömning av personens ekonomiska situation, utländska kontakter och övriga omständigheter som kan vara relevanta för säkerheten.
Säkerhetsklasserna – säkerhetsklass 1, 2 och 3 – bestämmer graden av prövning som krävs för en viss befattning. Säkerhetsklass 1 kräver den mest ingående prövningen och innefattar registerkontroll genomförd av Säkerhetspolisen. Säkerhetsklass 3 kräver en grundläggande prövning utan nödvändig registerkontroll i alla fall.
Personalsäkerhet inkluderar också utbildning och medvetandegörande av personal om säkerhetsrisker, lojalitet och vad som förväntas av dem i deras roll. Det är inte enbart en kontroll vid anställning – det är ett löpande ansvar att säkerställa att personalen förstår och efterlever säkerhetsskyddskraven.
Säkerhetsskyddsanalysen – fundamentet för allt annat
Säkerhetsskyddslagen kräver att verksamhetsutövaren genomför en säkerhetsskyddsanalys. Det är ett obligatoriskt grunddokument vars syfte är att identifiera vilka uppgifter och vilken verksamhet som är säkerhetskänslig, vilket hot som finns mot denna och vilket säkerhetsskydd som behövs.
Säkerhetsskyddsanalysen är inte ett engångsdokument – den ska hållas aktuell och revideras när verksamheten, hotbilden eller de legala förutsättningarna förändras. Det är ett levande dokument vars kvalitet direkt påverkar kvaliteten på det säkerhetsskydd som byggs på det.
En välgjord säkerhetsskyddsanalys identifierar verksamhetens skyddsvärden – de tillgångar, uppgifter och processer som är säkerhetskänsliga och vars röjande, förstöring eller störning skulle ge konsekvenser för Sveriges säkerhet. Den identifierar de hot som finns mot dessa skyddsvärden – vilka aktörer som kan ha intresse av att skada dem och vilka metoder de kan tänkas använda. Och den identifierar de sårbarheter i verksamheten som gör skyddsvärdena exponerade mot hoten.
Det är en analys som kräver kompetens i säkerhetsskydd och en god kännedom om den egna verksamheten. Många företag som för första gången genomför en säkerhetsskyddsanalys underskattar arbetsinsatsen och den kompetens som krävs och genomför en analys som är för ytlig för att ge ett användbart underlag.
Säkerhetsskyddsavtal med leverantörer
En av de mest genomgripande konsekvenserna av 2019 års säkerhetsskyddslag för privata företag är kravet på säkerhetsskyddsavtal med leverantörer som ges tillgång till säkerhetskänslig verksamhet eller säkerhetsskyddsklassificerade uppgifter.
Om en verksamhetsutövare avser att genomföra en upphandling eller ingå ett avtal där leverantören kan få tillgång till säkerhetskänslig verksamhet eller säkerhetsskyddsklassificerade uppgifter, ska verksamhetsutövaren ingå ett säkerhetsskyddsavtal med leverantören. Det är ett krav som gäller oavsett om leverantören är ett litet konsultbolag eller ett stort it-företag.
Säkerhetsskyddsavtalet ska reglera vilka säkerhetsskyddsåtgärder leverantören är skyldig att vidta och ger verksamhetsutövaren rätt att kontrollera att åtgärderna vidtas. Det innebär att leverantören i praktiken underordnas samma säkerhetsskyddskrav som uppdragsgivaren och att kedjan av säkerhetsskyddsansvar sträcker sig ner i leverantörsledet.
Konsultation med tillsynsmyndigheten är obligatorisk i vissa fall. Vid en upphandling som innebär att leverantören ges tillgång till säkerhetsskyddsklassificerade uppgifter på säkerhetsskyddsnivå hemlig eller högre, eller till säkerhetskänslig verksamhet av viss karaktär, ska tillsynsmyndigheten konsulteras innan avtalet ingås. Det är ett krav vars syfte är att förhindra att känsliga kontrakt ingås med leverantörer som inte uppfyller säkerhetsskyddskraven.
Tillsyn och ingripanden
Säkerhetsskyddslagen ger ett antal myndigheter tillsynsbefogenheter. Säkerhetspolisen – SÄPO – är tillsynsmyndighet för civila statliga myndigheter och kommuner. Försvarsmakten är tillsynsmyndighet för försvarets myndigheter. För privata företag är tillsynsansvaret fördelat sektorsvis – Finansinspektionen för finansiella företag, Energimyndigheten för energisektorn och så vidare.
Tillsynsmyndigheterna har rätt att genomföra tillsynsbesök, begära dokumentation och ställa krav på åtgärder. Vid allvarliga brister kan tillsynsmyndigheten förelägga verksamhetsutövaren att vidta åtgärder – ett föreläggande som i sista hand kan förenas med vite.
Ingripandemöjligheterna utvidgades i 2019 års lag. Tillsynsmyndigheten kan i dag ingripa mot en verksamhetsutövare som avser att genomföra en upphandling eller ingå ett avtal som kan innebära en skadlig inverkan på Sveriges säkerhet. I extrema fall kan myndigheten förbjuda avtalet. Det är en befogenhet som signalerar att säkerhetsskyddslagen inte enbart är ett internt ordningsregelverk utan ett nationellt säkerhetsinstrument med faktiska tänder.
Brott mot säkerhetsskyddslagen kan i allvarliga fall ge straffrättsliga konsekvenser. Den som i strid med lagen röjer säkerhetsskyddsklassificerade uppgifter kan dömas för spioneri, grovt spioneri eller obehörig befattning med hemlig uppgift beroende på omständigheterna.
Praktiska konsekvenser för it-leverantörer och konsultbolag
It-leverantörer och konsultbolag är de privata aktörer som oftast oförväntat hamnar under säkerhetsskyddslagens krav – via uppdrag från statliga myndigheter eller samhällsviktig verksamhet som involverar tillgång till säkerhetskänslig information eller verksamhet.
En it-leverantör som driftar system för en statlig myndighet och vars personal kan ha tillgång till information som hanteras i systemen behöver ett säkerhetsskyddsavtal med myndigheten och behöver i sin tur säkerhetspröva den personal som får tillgång. Det är ett krav som kan komma som en överraskning för ett it-bolag som betraktat uppdraget som ett vanligt driftavtal.
Konsekvenserna är genomgripande: säkerhetsprövning av personal tar tid och ger en operationell begränsning i vilka medarbetare som kan arbeta med uppdraget. Krav på godkända it-system innebär att standardmiljöer normalt inte uppfyller kraven utan konfigurationsarbete och granskning. Krav på säkerhetsskyddsavtal nedåt i leverantörskedjan innebär att underleverantörer – molntjänstleverantörer, supportbolag, specialistkonsulter – kan behöva ta samma steg.
Det är en komplexitet som påverkar affärsmodellen för it-leverantörer inom offentlig sektor och som kräver en tidig analys av om ett specifikt offentligt uppdrag utlöser säkerhetsskyddskrav och vad de innebär för prissättningen och genomförandet.
Säkerhetsskyddslagen och NIS2
NIS2-direktivet – EU:s direktiv om nätverks- och informationssäkerhet i dess reviderade form – har ett delvis överlappande tillämpningsområde med säkerhetsskyddslagen och träffar en liknande kategori av samhällsviktiga aktörer. De är dock distinkta regelverk med olika krav och olika tillsynsorganisationer.
Säkerhetsskyddslagen fokuserar på skyddet av säkerhetsskyddsklassificerade uppgifter och på att förhindra spioneri, sabotage och terroristbrott. NIS2 fokuserar på cybersäkerhet och incidenthantering för samhällsviktig infrastruktur med ett bredare och mer it-fokuserat kravpaket.
Företag som berörs av bägge regelverken – vilket gäller för många operatörer av samhällsviktig infrastruktur – behöver hantera dem parallellt och säkerställa att säkerhetsarbetet uppfyller bägge utan att behandla dem som identiska regelverk med identiska krav.
Att komma igång – en praktisk vägledning
För ett företag som kommit fram till att det kan beröras av säkerhetsskyddslagen men som inte tidigare arbetat systematiskt med säkerhetsskydd är frågan om var man börjar en praktisk utmaning.
Första steget är att genomföra en preliminär analys av om verksamheten faktiskt berörs av lagen. Det är en analys som bör göras av eller med stöd av en person med kompetens i säkerhetsskydd och som utgår från en genomgång av vad verksamheten gör, vilka uppgifter som hanteras och vilka kunder och uppdragsgivare som finns.
Om analysen visar att lagen sannolikt berörs är nästa steg att ta kontakt med relevant tillsynsmyndighet för vägledning. Tillsynsmyndigheterna har ett uppdrag att stödja verksamhetsutövare i att förstå och uppfylla lagens krav och ger normalt vägledning i tidiga skeden. Det är en kontakt som är bättre att ta tidigt och proaktivt än att vänta tills ett specifikt avtal eller en specifik händelse tvingar fram den.
Säkerhetsskyddsanalysen är det centrala dokumentet som allt säkerhetsskyddsarbete vilar på. Att genomföra en genomtänkt och välgrundad analys är den investering som ger störst avkastning i form av ett ändamålsenligt säkerhetsskydd och ett tydligt underlag för de specifika åtgärder som behöver vidtas. Läs mer om säkerhetsskydd och säkerhetsprövning här.
Kompetensutveckling av den personal som ska hantera säkerhetsskyddsfrågor är ett parallellt behov. Säkerhetsskyddschefen – den funktion som lagen kräver att verksamhetsutövaren utser – behöver en konkret kompetens i säkerhetsskyddsregelverket och i de praktiska krav som det ställer. Det är en kompetens som inte är vanlig och som kan behöva byggas upp via utbildning eller extern rådgivning.
Konsekvenserna av att inte följa lagen
Konsekvenserna av att inte följa säkerhetsskyddslagen är allvarligare och mer varierade än de flesta företag föreställer sig. Det handlar inte enbart om böter eller myndighetssanktioner – det handlar om nationella säkerhetskonsekvenser vars potentiella räckvidd är svår att begränsa.
En verksamhetsutövare som inte uppfyller lagens krav och vars säkerhetsbrister utnyttjas av en antagonistisk aktör för att komma åt säkerhetsskyddsklassificerade uppgifter eller för att sabotera samhällsviktig verksamhet bär ett ansvar för de konsekvenser som följer. Det är ett ansvar som kan vara juridiskt, ekonomiskt och reputationsmässigt och vars begränsning kräver ett genuint och kompetent säkerhetsskyddsarbete.
Förlorade kontrakt är den mest omedelbara affärskonsekvensen. En offentlig upphandling eller ett avtal med en statlig myndighet som kräver säkerhetsskyddskompetens och säkerhetsavtal kan inte vinnas av ett företag som saknar den kompetensen. Det är ett direkt affärshinder vars relevans ökar i takt med att offentlig sektor och samhällsviktig verksamhet digitaliseras och ökar sin användning av externa leverantörer.
Reputationskonsekvenserna av ett allvarligt säkerhetsskyddsbrott – ett röjande av hemliga uppgifter, ett sabotage möjliggjort av bristfälliga skydd – kan vara existenshotande för ett företag vars affärsmodell bygger på förtroende för hantering av känslig information. Det är en risk vars sannolikhet är svår att skatta men vars konsekvens motiverar ett genomtänkt säkerhetsskyddsarbete även för verksamheter med begränsad riskexponering.