Säkerhetsskyddsanalys
Verksamhetsutövare som bedriver säkerhetskänslig verksamhet är skyldiga att göra en säkerhetsskyddsanalys som syftar till att utreda behovet av säkerhetsskydd. Säkerhetsskyddsanalysen ska hållas uppdaterad.
När säkerhetsskyddsanalysen är fastställd ska verksamhetsutövaren tydliggöra vilka säkerhetsskyddsåtgärder som behöver vidtas i en säkerhetsskyddsplan. Säkerhetsskyddsanalysen ska uppdateras vid behov, dock minst en gång vartannat år.
Verksamhetsbeskrivning
Säkerhetsskyddsanalysen ska innehålla en verksamhetsbeskrivning. Verksamhetsbeskrivningen ska innehålla en övergripande beskrivning av verksamheten och en specifikation av vilka delar av verksamheten som är av betydelse för Sveriges säkerhet utifrån kategorierna Sveriges yttre säkerhet, Sveriges inre säkerhet, nationellt samhällsviktig verksamhet, verksamhet av betydelse för Sveriges ekonomi och verksamhet som kan generera skada på annan säkerhetskänslig verksamhet.
Identifiera och bedöma skyddsvärden
Det är viktigt att poängtera att skyddsvärden ska bedömas utifrån ett konsekvensperspektiv, det vill säga utifrån hur allvarlig konsekvensen av en eventuell skada blir, istället för att fokusera på sannolikheten för att ett säkerhetshot realiseras.
Hanterar verksamheten säkerhetsskyddsklassificerade uppgifter?
Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) (OSL), eller som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig. För enskilda verksamhetsutövare som inte tillämpar OSL innebär detta att en "fiktiv" sekretessbedömning måste göras. Bestämmelser om sekretess som kan vara relevanta att ta ställning till finns i exempelvis 15 och 18 kap. OSL.
Om verksamheten hanterar sådana uppgifter ska de delas in i följande säkerhetsskyddsklassificeringar utifrån en bedömning av den skada för Sveriges säkerhet ett röjande skulle kunna medföra:
- Synnerligen allvarlig skada för Sveriges säkerhet (kvalificerat hemlig),
- Allvarlig skada för Sveriges säkerhet (hemlig),
- Inte obetydlig skada för Sveriges säkerhet (konfidentiell),
- Endast ringa skada för Sveriges säkerhet (begränsat hemlig).
Vilka delar av verksamheten i övrigt är av betydelse för Sveriges säkerhet?
Om verksamheten har anläggningar, objekt, system, egendom och andra tillgångar som är av betydelse för Sveriges säkerhet, ska de värderas och skyddas utifrån vilken typ av skada en antagonistisk handling mot ett skyddsvärde av nyss nämnda slag skulle kunna medföra.
Skyddsvärdena ska delas in i följande konsekvensnivåer utifrån en bedömning av den skada för Sveriges säkerhet en antagonistisk handling mot skyddsvärdet skulle kunna medföra:
- Synnerligen allvarlig skada för Sveriges säkerhet (nivå A).
- Allvarlig skada för Sveriges säkerhet (nivå B).
- Inte obetydlig skada för Sveriges säkerhet (nivå C).
- Endast ringa skada för Sveriges säkerhet (nivå D).
Omfattas verksamheten av ett internationellt åtagande om säkerhetsskydd?
Med uttrycket "internationellt åtagande om säkerhetsskydd" avses bl.a. åtaganden om att vidta säkerhetsskyddsåtgärder som följer av EU-rättsakter. Sådana åtaganden finns bl.a. i EU-förordningen 2015/1998 (luftfartsskydd), EU-förordningen 725/2004 (sjöfartsskydd) och EU-direktivet 2005/65/EG (hamnskydd). Det rör sig framför allt om skyldigheter rörande säkerhetsprövning av personal, men även andra åtgärder för att skydda viss information.
Du kan läsa mer om andra internationella åtaganden på Säkerhetspolisens webbplats.
Perspektiven konfidentialitet, riktighet och tillgänglighet
När ni identifierar skyddsvärdena ska ni även bedöma varför de är skyddsvärda utifrån perspektiven konfidentialitet, riktighet och tillgänglighet.
Konfidentialitet tar sikte på säkerhetsskyddsklassificerade uppgifter och innebär skydd mot obehörigt röjande av uppgifterna.
Med riktighet och tillgänglighet avses att ett skyddsvärde som är av betydelse för Sveriges säkerhet skyddas mot manipulation/ändringar eller att det inte görs otillgänglig/förstörs när det behövs. Krav på riktighet och tillgänglighet kan vara aktuellt för såväl säkerhetsskyddsklassificerade uppgifter som andra skyddsvärden. Exempelvis kan det vara kritiskt att ett informationssystem, där informationen i systemet inte nödvändigtvis behöver hållas konfidentiellt, hålls tillgängligt och att det går att lita på att informationen i systemet är korrekt.
Mot vad ska det skyddas?
Säkerhetshot
Verksamhetsutövaren ska beakta vilka säkerhetshot som finns mot de identifierade skyddsvärdena och den säkerhetskänsliga verksamheten i stort. Med säkerhetshot avses antagonistiska hot, det vill säga hot från en aktör med avsikt och förmåga att skada det skyddsvärda.
Dimensionerande antagonistiska förmågor (DAF)
Från och med den 1 mars 2022 försvinner begreppet särskilt säkerhetskänslig verksamhet och den rapporteringsplikt som tidigare var förknippad med sådan verksamhet. Istället kommer Säkerhetspolisen att tillhandahålla beskrivningar av dimensionerande antagonistiska förmågor till verksamhetsutövare. Detta sker under förutsättning att Säkerhetspolisen inte bedömer det som olämpligt.
Med dimensionerande antagonistiska förmågor (DAF) avses antagonistiska förmågor som vissa säkerhetsskyddsåtgärder ska dimensioneras utifrån, oavsett om de motsvaras av något identifierat säkerhetshot mot den säkerhetskänsliga verksamheten eller inte.
Transportstyrelsen uppmärksammar Säkerhetspolisen på vilka verksamhetsutövare inom vårt tillsynsområde som har behov av DAF.
Sårbarheter
Utifrån identifierade säkerhetshot och eventuellt DAF ska ni även identifiera sårbarheter för respektive skyddsvärde och den säkerhetskänsliga verksamheten i stort.
Hur ska det skyddas?
Utifrån vad som framkommit vid identifiering och bedömning av skyddsvärden, säkerhetshot och sårbarheter ska ni identifiera vilka säkerhetsskyddsåtgärder inom fysisk säkerhet, informationssäkerhet och personalsäkerhet som är nödvändiga att vidta.
Har Säkerhetspolisen tillhandahållit en DAF ska ni även dimensionera vissa specifika säkerhetsskyddsåtgärder utifrån den. Det gäller ett antal skyddsåtgärder inom fysisk säkerhet (åtgärder för att upptäcka, försvåra och hantera, skydd mot obehörig avlyssning av samtal, skydd mot obehörig insyn och förvaringsutrymmen) samt informationssäkerhet (skydd mot röjande signaler).
Verksamhetsutövarens högsta chef ska fastställa säkerhetsskyddsanalysen.
Säkerhetsskyddsplan
Efter att säkerhetsskyddsanalysen är fastställd ska ni upprätta en säkerhetsskyddsplan.
Planen ska redogöra för hur behovet av säkerhetsskyddsåtgärder som identifierats i säkerhetsskyddsanalysen omhändertas. Det ska också framgå när åtgärderna ska vidtas och vilken funktion som ansvarar för dem.
Säkerhetsskyddsplanen ska fastställas av säkerhetsskyddschefen.
Kontroll, uppföljning och åtgärdsplan
Som verksamhetsutövare ska ni systematiskt:
- utvärdera om åtgärder i säkerhetsskyddsplanen ger avsedd effekt,
- omhänderta tillkommande skyddsvärden i säkerhetsskyddsanalysen,
- identifiera brister och sårbarheter i säkerhetsskyddet, och
- i övrigt kontrollera och följa upp att verksamheten följer regelverket för säkerhetsskydd.
Ni ska i en åtgärdsplan redovisa de åtgärder som behövs för att omhänderta avvikelser. I planen ska det även anges vilken funktion som ansvarar för åtgärderna. Planen ska uppdateras löpande.
Mer information
Som stöd i arbetet med säkerhetsskydd och säkerhetsskyddsanalys, se Säkerhetspolisens vägledningar.