Säkerhetsskydd och säkerhetsskyddslagen

Säkerhetsskyddslagen ställer krav på organisationer som hanterar samhällsviktiga funktioner eller skyddsvärd information. I den här artikeln förklarar vi vad lagen innebär, vilka verksamheter och leverantörer som omfattas, vilka krav och skyldigheter som gäller samt hur man kan arbeta praktiskt för att följa lagens regler. Du får också ta del av de senaste förändringarna och råd kring hur säkerhetsskydd kan byggas upp steg för steg.

Säkerhetsskydd och säkerhetsskyddslagen

Vad är säkerhetsskyddslagen?

Säkerhetsskyddslagen reglerar hur verksamheter i Sverige ska skydda känslig information och samhällsviktiga funktioner mot hot som spionage, sabotage och terrorism. Lagens huvudsyfte är att säkerställa att Sveriges säkerhet inte äventyras genom att centrala samhällsresurser eller information hamnar i fel händer.

Syfte och tillämpning

Bakgrunden till lagen är att samhällets sårbarhet ökar när verksamheter blir mer digitaliserade och beroende av komplexa leverantörskedjor. Därför omfattar lagen både offentliga myndigheter och privata företag inom exempelvis:

  • Försvar och brottsbekämpning
  • Energi, elnät och vattenförsörjning
  • Hälso- och sjukvård
  • Transporter och kommunikationer
  • It- och telekominfrastruktur

Alla verksamheter måste själva bedöma vilka delar av verksamheten som är skyddsvärda och vidta lämpliga åtgärder.

Vem omfattas av säkerhetsskyddet?

Säkerhetsskyddslagen gäller alla organisationer – oavsett om de är statliga, kommunala eller privata – om de hanterar säkerhetskänslig verksamhet. Det innebär att även många leverantörer, konsulter och underleverantörer omfattas om de får tillgång till skyddsvärd information eller it-system.

Vad är säkerhetskänslig verksamhet?

Med säkerhetskänslig verksamhet menas verksamheter som är så betydelsefulla att en störning, ett intrång eller informationsläcka kan hota Sveriges säkerhet eller grundläggande funktioner i samhället. Exempel är:

  • Kraftverk och distributionsnät för el och vatten
  • Kommunikationstjänster, datanätverk och it-system för samhällsviktig service
  • Organisationer inom rättsväsende och försvar
  • Stora sjukhus och centrala myndigheter

Varje organisation behöver göra en egen bedömning av vilka verksamhetsdelar eller uppdrag som är säkerhetskänsliga.

Skillnad mot andra lagar

Det finns flera lagar och regler som syftar till att skydda information och samhällsresurser. Säkerhetsskyddslagen skiljer sig från exempelvis säkerhetslagen och dataskyddsförordningen (GDPR) genom att den även omfattar hot mot rikets säkerhet och hela samhällsfunktioner, inte bara skyddet av personuppgifter eller tekniska system.

Leverantörer och externa parter

Många företag omfattas av säkerhetsskyddslagen när de levererar varor eller tjänster till myndigheter eller andra som bedriver säkerhetskänslig verksamhet. Det gäller även utländska leverantörer. Om en leverantör får tillgång till system, byggnader eller information som är skyddsvärd ska ett särskilt säkerhetsskyddsavtal skrivas.

Krav och skyldigheter enligt säkerhetsskyddslagen

För att uppfylla säkerhetsskyddslagens krav krävs en rad åtgärder och rutiner. Dessa omfattar allt från analyser och dokumentation till tekniska och organisatoriska skydd.

Säkerhetsskyddsanalys

En säkerhetsskyddsanalys är första steget. Här kartläggs vad som behöver skyddas, vilka hot som finns och vilka konsekvenser ett intrång eller en läcka kan få. Analysen ska omfatta:

  • Vilken information eller vilka resurser som är skyddsvärda
  • Vilka aktörer som kan utgöra hot (till exempel främmande makt, insiderhot)
  • Vilka sårbarheter som finns och vilka konsekvenser olika scenarier skulle få

Resultatet av analysen avgör vilka skyddsåtgärder som behövs.

Personalsäkerhet

Personalsäkerheten är ett centralt område. Alla som ska arbeta i eller ha tillgång till säkerhetskänslig verksamhet ska genomgå säkerhetsprövning. I vissa fall krävs även registerkontroll. Syftet är att säkerställa att personer är pålitliga, lojala och inte har sårbarheter som kan utnyttjas av andra.

Det är viktigt att rutiner för personalsäkerhet är dokumenterade och regelbundet uppdateras, särskilt vid nyanställningar, vid omplaceringar eller när en persons arbetsuppgifter ändras.

Vad innebär säkerhetsprövning?

Säkerhetsprövningen består av flera steg, bland annat intervjuer, inhämtning av referenser och, där det är aktuellt, registerkontroll mot brottsregister och säkerhetspolisen. Prövningen ska göras innan personen börjar arbeta med säkerhetskänsliga uppgifter, och den ska upprepas regelbundet.

Informationssäkerhet och fysisk säkerhet

Informationssäkerhet innebär att information och it-system skyddas mot obehörig åtkomst, förlust eller manipulation. Det handlar både om tekniska lösningar – som brandväggar, kryptering och behörighetsstyrning – och om organisatoriska rutiner som utbildning och incidenthantering.

Fysisk säkerhet innebär skydd av byggnader, utrustning och annan infrastruktur. Det kan vara passersystem, larm, lås och bevakning men även rutiner för besökare och leveranser.

Säkerhetsskyddsavtal

Om verksamheten samarbetar med externa parter, till exempel leverantörer, entreprenörer eller konsulter, måste ett säkerhetsskyddsavtal finnas när de får tillgång till säkerhetskänslig information eller infrastruktur.

Avtalet reglerar ansvar, skyddsåtgärder och kontroller. Många verksamheter behöver även kontrollera att deras leverantörer har egna rutiner och utbildning på plats.

Roller och ansvar

Huvudansvaret för säkerhetsskyddet ligger hos verksamhetsutövaren, alltså den organisation eller myndighet som driver verksamheten. Tillsynsmyndigheter – exempelvis Säkerhetspolisen eller MSB – ansvarar för att kontrollera att lagen efterlevs och kan förelägga verksamheter att vidta åtgärder.

Det är viktigt att alla i organisationen är medvetna om sitt ansvar och vet hur man ska agera vid misstanke om brister, incidenter eller hot.

Praktiska råd för att följa lagen

Att leva upp till säkerhetsskyddslagen kräver planering och systematik. Här är några exempel på arbetssätt och rutiner som underlättar:

  • Gör säkerhetsskyddsanalysen tillsammans med personer från flera delar av verksamheten – på så vis får du både teknisk och organisatorisk kompetens.
  • Dokumentera alla rutiner för personalsäkerhet, informationssäkerhet och fysisk säkerhet. Det gör det lättare att visa på efterlevnad vid tillsyn.
  • Genomför återkommande utbildningar för all personal, så att alla är medvetna om regler och hotbilder.
  • Skapa tydliga rutiner för incidentrapportering – ju snabbare en brist upptäcks, desto enklare att minimera skadan.
  • Se till att säkerhetsskyddsavtal uppdateras och anpassas när verksamheten förändras eller nya leverantörer tillkommer.
  • Gör regelbundna övningar och tester, till exempel av incidenthantering eller fysisk säkerhet, för att säkerställa att skyddet fungerar även i praktiken.

Det kan också vara värdefullt att arbeta med kontinuerlig riskbedömning. Hotbilden förändras snabbt, så regelbunden uppföljning behövs.

Aktuella förändringar i säkerhetsskyddslagen

Under 2022 och 2023 har flera viktiga uppdateringar införts i säkerhetsskyddslagen för att anpassa skyddet till en allt mer digital och global verklighet.

Nyheter och förändringar

  • Skärpta krav på utländska leverantörer. Även aktörer utanför Sverige måste nu följa säkerhetsskyddslagen om de hanterar skyddsvärd information.
  • Tillsynsmyndigheterna har fått utökade befogenheter att granska och kontrollera att verksamheter uppfyller lagens krav. Det gäller både dokumentation och praktiskt säkerhetsarbete.
  • Kraven på dokumentation och uppföljning har blivit tydligare, särskilt när det gäller säkerhetsskyddsavtal och leverantörshantering.
  • Lagen har översatts till engelska, vilket gör det enklare för internationella samarbetspartners att förstå och leva upp till kraven.

Syftet med förändringarna är att stärka Sveriges skydd mot både nya och etablerade hot, samt att säkerställa att skyddet är likvärdigt oavsett om verksamheten bedrivs i privat eller offentlig regi.

När säkerhetsskyddsarbetet bedrivs löpande, med god dokumentation och tydliga rutiner, minskar risken för att verksamheten påverkas av intrång eller andra säkerhetsproblem. Ett genomarbetat säkerhetsskydd är en del av det löpande kvalitetsarbetet och en trygghet för både personal och samhälle.