Säkerhetsskyddslagen är ett av de regelverk som berör fler svenska företag än de flesta känner till – och ett vars krav är mer genomgripande än de flesta som berörs förstår förrän de faktiskt analyserat sin verksamhet. Det är inte enbart ett regelverk för försvaret och underrättelsetjänsterna. Det är ett regelverk som träffar infrastrukturoperatörer, it-leverantörer, konsulter och underleverantörer med koppling till statliga uppdrag och en lång rad privata aktörer vars verksamhet – eller vars kunder – hanterar uppgifter av betydelse för Sveriges säkerhet.
Den här artikeln handlar om vad säkerhetsskyddslagen kräver, vilka företag som berörs och hur ett företag som kommit fram till att lagen gäller för dem bör tänka och agera.
Lagens tillämpningsområde – vilka berörs
Säkerhetsskyddslagen gäller för verksamhetsutövare som bedriver säkerhetskänslig verksamhet. Det är en kategori som definieras i lagen och som är bredare än vad namnet antyder.
Säkerhetskänslig verksamhet är verksamhet som är av betydelse för Sveriges säkerhet eller som Sverige enligt internationell överenskommelse är skyldigt att skydda. Det är en definition med två delar som var för sig kan göra en verksamhet berörd.
Den första delen – verksamhet av betydelse för Sveriges säkerhet – träffar ett brett spektrum. Staten och kommunerna är självklart inkluderade. Men det inkluderar också privata aktörer vars verksamhet är samhällsviktig: energileverantörer, operatörer av elektroniska kommunikationsnät, transportinfrastrukturoperatörer, dricksvattenproducenter, hälso- och sjukvårdsaktörer och finansiella infrastrukturoperatörer. Dessa är sektorer vars störning eller haveri påverkar samhällets grundläggande funktioner och som därför betraktas som säkerhetskänsliga.
Den andra delen – internationella åtaganden – inkluderar företag som hanterar säkerhetsskyddsklassificerad information från Nato, EU eller andra internationella organisationer som Sverige har informationssäkerhetsavtal med. Det är en kategori som träffar ett antal svenska försvarsleverantörer och it-säkerhetsföretag med internationella kontrakt.
En viktig utvidgning kom med 2019 års säkerhetsskyddslag: privata företag som ingår avtal med verksamhetsutövare som redan berörs av lagen kan själva bli skyldiga att följa lagen – genom de säkerhetsskyddsavtal som den ursprungliga verksamhetsutövaren är skyldig att teckna med sina leverantörer. Det innebär att kedjan av berörda aktörer är längre än lagens direkta tillämpningsområde antyder.
Säkerhetsskyddets tre delar
Säkerhetsskyddslagen kräver att verksamhetsutövaren vidtar säkerhetsskyddsåtgärder inom tre områden: informationssäkerhet, fysisk säkerhet och personalsäkerhet. Det är tre delar av ett integrerat säkerhetsskydd vars syfte är att förhindra att säkerhetsskyddsklassificerade uppgifter röjs, ändras, görs otillgängliga eller förstörs och att förhindra att terroristbrott och sabotage drabbar verksamheten.
Informationssäkerhet
Informationssäkerhetsdelen av säkerhetsskyddet handlar om att skydda säkerhetsskyddsklassificerade uppgifter från obehörig åtkomst, röjande och manipulation. Det inkluderar kryptering av känslig information, behörighetsstyrning i it-system, loggning och övervakning av åtkomst och en systematisk hantering av informationen under hela dess livscykel – från skapande till destruktion.
Säkerhetsskyddsklassificerade uppgifter delas in i fyra nivåer: kvalificerat hemlig, hemlig, konfidentiell och begränsat hemlig. Nivån avgör hur strängt informationen måste skyddas och vilka tekniska och administrativa åtgärder som är obligatoriska. Kvalificerat hemlig är den högsta nivån och kräver de mest genomgripande skyddsåtgärderna.
It-system som hanterar säkerhetsskyddsklassificerade uppgifter måste godkännas för ändamålet. Det är ett krav som innebär att systemet genomgår en säkerhetsgranskning och att det konfigureras och driftas i enlighet med de krav som Försvarets radioanstalt – FRA – eller Försvarsmakten ställer beroende på informationens klassificeringsnivå. Det är ett krav som ger betydande tekniska och ekonomiska konsekvenser för it-infrastrukturen och som kräver tidigt planering.
Fysisk säkerhet
Fysisk säkerhet handlar om att skydda säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter mot fysiskt intrång, sabotage och terroristbrott. Det inkluderar passerkontroll, inbrottsskydd, kameraövervakning och i många fall zonsindelning av lokalerna med hårdare krav i de zoner där känsligast verksamhet bedrivs.
Säkerhetszoner – skyddsklassade fysiska utrymmen – delas in i nivåerna säkerhetszon 1, 2 och 3 med stigande säkerhetskrav. I säkerhetszon 1 får enbart personal med säkerhetsprövning och specifikt tillstånd befinna sig. Det är ett krav vars praktiska konsekvenser för kontorsutformning, besökshantering och leverantörers tillträde är genomgripande.
Fysisk säkerhet inkluderar också skydd av informationstillgångar i fysisk form – papper, lagringsmedia, utrustning. Utrangering av datorer och lagringsmedia som hanterats säkerhetsskyddsklassificerad information kräver en säker destruktionsprocess som normalt innebär fysisk förstöring …