Säkerhetsskydd – en introduktion
Säkerhetsskydd går ut på att skydda säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter. På denna sida kan du få en grundförståelse för området säkerhetsskydd. Det har du nytta av om du kommer i kontakt med säkerhetsskyddade upphandlingar som leverantör eller som representant för den upphandlande organisationen.
Innehåll på denna sida
- Vad innebär säkerhetsskydd?
- Ansvaret för säkerhetsskyddet
- Sveriges säkerhet
- Vilka uppgifter ska skyddas enligt säkerhetsskyddslagstiftningen?
- Även vissa objekt, anläggningar och liknande ska skyddas
- Vem omfattas av säkerhetsskyddslagen?
- Upprätthållande av säkerhetsskydd genom tre typer av säkerhetsskyddsåtgärder
- Informationssäkerhet
- Fysisk säkerhet
- Personalsäkerhet
- Säkerhetsskyddet ska inte vara mer omfattande än motiverat
- Källhänvisningar
Vad innebär säkerhetsskydd?
Säkerhetsskydd innebär förebyggande skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. Säkerhetsskydd innebär även skydd i andra fall av säkerhetsskyddsklassificerade uppgifter.
Med säkerhetskänsliga verksamheter menas verksamheter som är av betydelse för Sveriges säkerhet. Det kan också vara verksamheter som omfattas av ett internationellt åtagande om säkerhetsskydd som är förpliktigande för Sverige.
Ansvaret för säkerhetsskyddet
En grundprincip inom säkerhetsskydd är att säkerhetsskyddet ska vara detsamma oavsett i vilken verksamhet som säkerhetsskyddsklassificerade uppgifter förekommer eller var säkerhetskänslig verksamhet bedrivs. Samma skydd ska upprätthållas oavsett om verksamheten bedrivs av offentliga eller privata aktörer.
Den som till någon del bedriver säkerhetskänslig verksamhet benämns i lagstiftningen som “verksamhetsutövaren”. Det är verksamhetsutövaren som ansvarar för att den säkerhetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna får ett ändamålsenligt säkerhetsskydd. Detta gäller såväl inför och under upphandlingsprocessen som under och efter affärs- eller samarbetsrelationen.
Den som till någon del bedriver säkerhetskänslig verksamhet har alltså ansvar för säkerhetsskyddet i sin verksamhet. Det ansvaret kan aldrig läggas ut på någon annan part, till exempel en leverantör.
Sveriges säkerhet
I säkerhetsskyddslagstiftningen har det tidigare begreppet rikets säkerhet helt ersatts av Sveriges säkerhet.
Begreppet Sveriges säkerhet handlar om Sveriges oberoende i form av självständighet och suveränitet samt bestånd. Med begreppet vill lagstiftaren tydliggöra att det inte endast är det militära försvaret som avses; säkerhetsskyddslagstiftningen ska även skydda övergripande nationella intressen och samhällsvärden. Detta framgår av förarbetena till säkerhetsskyddslagen. Det kan alltså handla om både militär och civil verksamhet. Exempelvis kan det bli aktuellt med säkerhetsskydd när varor och tjänster upphandlas för energi- och vattenförsörjning, hälso- och sjukvård, digital infrastruktur och bevakning av viktiga byggnader.
Det framgår också av förarbetena att det är svårt att konkretisera vad Sveriges säkerhet innebär. Det som konkretiseras är olika faktorer som är av betydelse vid verksamhetsutövarens bedömning om en verksamhet, helt eller till viss del, har betydelse för Sveriges säkerhet.
Sveriges och rikets säkerhet i förhållande till annan lagstiftning
Begreppet rikets säkerhet har ersatts av Sveriges säkerhet även i upphandlingslagstiftningen, med undantag för lagen (2016:1147) om upphandling av koncessioner (LUK). I LUK står det fortfarande rikets säkerhet. Sannolikt finns det ett utrymme att här göra en ändamålsenlig tolkning där rikets säkerhet förstås som Sveriges säkerhet även enligt LUK.
I offentlighets- och sekretesslagen (2009:400) (OSL) används främst rikets säkerhet, och där förekommer inte säkerhetsskyddslagens (2018:585) säkerhetsskyddsklassificeringar. Enligt förarbetena till säkerhetsskyddslagen framgår det dock att en säkerhetsskyddsklassificerad uppgift till sin natur är sådan att uppgiften materiellt sett kan hänföras till bestämmelser om sekretess i OSL med hänsyn till bland annat Sveriges säkerhet. Detta går även att utläsa av de hänvisningar som görs till OSL i säkerhetsskyddslagstiftningen.
Vilka uppgifter ska skyddas enligt säkerhetsskyddslagstiftningen?
Sekretessbestämmelser om vilka uppgifter som ska skyddas finns i OSL. OSL reglerar däremot inte hur uppgifter som omfattas av sekretess med hänsyn till rikets (Sveriges) säkerhet ska hanteras och skyddas. Detta regleras i stället av säkerhetsskyddslagstiftningen.
Säkerhetsskyddslagstiftningen reglerar skyddet av säkerhetsskyddsklassificerade uppgifter. Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt OSL eller som skulle ha omfattats av sekretess enligt OSL om OSL hade varit tillämplig. Det senare tar framför allt sikte på enskilda näringsutövare som inte är myndigheter, regioner eller kommuner.
För att säkerhetsskyddsklassificera uppgifter behöver dessa enskilda näringsutövare därför göra en sekretessbedömning på motsvarande sätt som en offentlig aktör som omfattas av OSL, trots att näringsutövaren inte omfattas av OSL. Säkerhetsskyddslagstiftningen har alltså anpassats för det faktum att OSL normalt sett inte är tillämplig på enskilda näringsutövare.
Fyra säkerhetsskyddsklasser för uppgifter som ska skyddas
Säkerhetsskyddsklassificerade uppgifter ska delas in i fyra nivåer av säkerhetsskyddsklasser. Vilken klass uppgifterna hör till beror på vilken skada som röjandet av uppgifterna kan medföra för Sveriges säkerhet.
Dessa säkerhetsskyddsklasser finns:
- kvalificerat hemlig vid en synnerligen allvarlig skada
- hemlig vid en allvarlig skada
- konfidentiell vid en inte obetydlig skada
- begränsat hemlig vid endast ringa skada.
Klassificeringen får även betydelse för tillämpningen av andra bestämmelser i säkerhetshetsskyddslagstiftningen. Bland annat påverkar klassificeringen huruvida det krävs skyddsåtgärder och i vilken säkerhetsklass en anställning eller annat deltagande ska placeras.
Om säkerhetsskyddsklassificerad uppgift som omfattas av ett internationellt åtagande om säkerhetsskydd inte redan har klassificerats av en annan stat eller mellanfolklig organisation ska den på motsvarande sätt delas in i säkerhetsskyddsklass. Indelningen i säkerhetsskyddsklass ska i sådant fall göras utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till annan stat eller mellanfolklig organisation.
Även vissa objekt, anläggningar och liknande ska skyddas
Utöver skydd för säkerhetsskyddsklassificerade uppgifter kan det exempelvis bli aktuellt att skydda anläggningar, objekt, system, egendom och andra tillgångar som är av betydelse för Sveriges säkerhet.
Vem omfattas av säkerhetsskyddslagen?
Säkerhetsskyddslagen gäller för den som till någon del bedriver säkerhetskänslig verksamhet. Med ”den som” avses alla verksamheter oavsett verksamhetsform. Det spelar alltså ingen roll om verksamheten bedrivs av offentliga aktörer såsom statliga myndigheter, kommuner och regioner eller av enskilda näringsutövare (privata aktörer).
Med ”till någon del” har lagstiftaren tydliggjort att det inte krävs att hela verksamheten är säkerhetskänslig verksamhet för att säkerhetsskyddslagen ska bli tillämplig. Vilken verksamhet, eller del av verksamhet, som är säkerhetskänslig behöver verksamhetsutövaren själv bedöma och avgöra i det enskilda fallet.
Verksamhetsutövarens bedömning om dennes verksamhet är säkerhetskänslig behöver utgå från verksamhetsutövarens säkerhetsskyddsanalys. Det är verksamhetsutövarens ansvar att identifiera och bedöma behovet av säkerhetsskydd.
Upprätthållande av säkerhetsskydd genom tre typer av säkerhetsskyddsåtgärder
Säkerhetsskydd kan upprätthållas med hjälp av olika sorters säkerhetsskyddsåtgärder, indelade i tre kategorier:
Informationssäkerhet ska förebygga:
-
att säkerhetsskyddsklassificerade uppgifter obehörigen röjs (konfidentialitet), ändras (riktighet), görs otillgängliga eller förstörs (tillgänglighet), och
-
skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
Informationssäkerhet tar alltså sikte på säkerhetsskyddsklassificerade uppgifter men även icke säkerhetsskyddsklassificerade uppgifter och informationssystem som inte innehåller säkerhetsklassificerade uppgifter men som ändå är av betydelse för Sveriges säkerhet. Detta kan vara uppgifter som inte nödvändigtvis behöver hållas konfidentiella men där det är nödvändigt att uppgifterna är riktiga eller tillgängliga när de behövs.
Fysisk säkerhet ska förebygga:
-
att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs, och
-
skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i punkt 1.
Fysisk säkerhet innebär en tillträdesbegränsning för att förebygga såväl obehörigt tillträde till områden med mera där obehöriga kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs.
Det kan även handla om skydd mot skadlig inverkan som kan orsakas utan ett obehörigt tillträde. Det kan exempelvis röra sig om att skydda en kabel för samhällsviktig elektronisk kommunikation med hjälp av ett robust hölje eller ett objekt mot obemannade luftfartyg, så kallade drönare, genom larm eller andra åtgärder.
Personalsäkerhet ska:
-
förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig, och
-
säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
Personalsäkerhet syftar till att förebygga att personer som inte är pålitliga ur säkerhetssynpunkt deltar i säkerhetskänslig verksamhet. Detta sker genom säkerhetsprövning och utbildning i säkerhetsskydd.
Eftersom vi uppfattar att just personalsäkerheten ofta upplevs som särskilt komplext går vi närmare in på det området här:
Dessa tre sorters säkerhetsskyddsåtgärder samverkar och utgör ett sammanhållet system för att skydda säkerhetskänslig verksamhet. Se gärna säkerhetsskyddet som ett system som aldrig är starkare än dess svagaste länk.
En aktör som involveras i den säkerhetskänsliga verksamheten, till exempel en leverantör i en säkerhetsskyddad upphandling, måste följa verksamhetsutövarens krav på säkerhetsskyddsåtgärder. Detta regleras i ett säkerhetsskyddsavtal.
Säkerhetsskyddet ska inte vara mer omfattande än motiverat
Det är viktigt att säkerhetsskyddet inte görs mer omfattande än nödvändigt och att valda åtgärder motiveras av behovet. Använd säkerhetsskyddsanalysen som utgångspunkt när ni väljer säkerhetsskyddsåtgärder.
Proportionalitet i kravställning och vid val av säkerhetsskyddsåtgärder
Länkar för fördjupning
Du kan läsa mer om säkerhetsskydd på Säkerhetspolisens webbplats.
- Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, prop. 2017/18:89, sid. 35
- Prop. 2017/18:89, sid. 133
- Ett starkare skydd för Sveriges säkerhet, prop. 2020/21:194, sid. 19
- Prop. 2017/18:89, sid. 42
- Prop. 2017/18:89, sid. 43
- Ett starkare skydd för Sveriges säkerhet, prop. 2020/21:194, sid. 19
- Lag (2016:1147) om upphandling av koncessioner (LUK)
- Säkerhetsskyddslagen (2018:585)
- 1 kap. 2 § 2 stycket och 2 kap. 5 §§ Säkerhetsskyddslagen
- Prop. 2017/18:89, sid. 52
- 1 kap. 1 § och 2 kap. 1 § Säkerhetsskyddslagen
- Prop. 2020/21:194, sid. 118
- 2 kap. 2–4 §§ Säkerhetsskyddslagen
- 2 kap. 1 § Säkerhetsskyddslagen
- Prop. 2017/18:89, sid. 67
- Prop. 2020/21:194, sid. 19–20