Nya krav på företagens säkerhetsskydd
Säkerhetsskyddets pentagram. Företagens skyldigheter och myndigheters uppgifter för företagens säkerhetsskydd, när företagen till någon del i den egna verksamheten bedriver verksamhet som är av betydelse för Sveriges säkerhet. Siffrorna hänvisar till den beskrivande texten nedan. Klicka på bilden för att se den i full storlek.
Bilden är ritad i Omnigraffle
Företag omfattades redan av den gamla säkerhetsskyddslagen (1996:627), om verksamheten var av betydelse för rikets säkerhet eller särskilt behövde skyddas mot terrorism. I den nya säkerhetsskyddslagen (2019:585) är företagens skyldigheter fler och tydligare.
Att endast läsa lösryckta paragrafer ger sällan ett sammanhang. Genom att visualisera relationer mellan bestämmelser är det lättare att förstå hur bestämmelserna påverkar en organisation och relationer till andra organisationer. Bilden visar merparten av de skyldigheter som en enskild verksamhetsutövare, oavsett verksamhetsform, har om denne bedriver säkerhetskänslig verksamhet i den egna verksamheten (alltså inte fall där en myndighet genomfört en säkerhetsskyddad upphandling med ett företag och ingått ett säkerhetsskyddsavtal). Bilden visar även myndigheters uppgifter för den enskilda verksamhetsutövarens säkerhetsskydd.
Bilden är baserad på bestämmelser i nya säkerhetsskyddslagen och nya säkerhetsskyddsförordningen (2018:658) som författningarna såg ut i oktober 2018. Bilden är inte uttömmande då t.ex. de internationella aspekterna inte är medtagna. Bilden ersätter så klart inte författningstext. Kontrollera alltid med författningarna om vad som gäller. I bilden och den förklarande texten nedan används företag istället för enskild verksamhetsutövare som används i lagstiftningen. Siffror i fetstil hänvisar till pilarna i bilden.
≈ ≈ ≈
1 Ett företag (en enskild verksamhetsutövare) ska utreda behovet av säkerhetsskydd och dokumentera detta i en säkerhetsskyddsanalys (2 kap 1 § första stycket nya säkerhetsskyddslagen).
2 Med utgångspunkt i säkerhetsskyddsanalysen ska företaget planera och vidta de säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter (2 kap 1 § andra stycket nya säkerhetsskyddslagen).
3 Företaget ska kontrollera säkerhetsskyddet i den egna verksamheten (2 kap 1 § tredje stycket nya säkerhetsskyddslagen).
4 Företaget ska följa Säkerhetspolisens föreskrifter. Säkerhetspolisen får föreskriva om säkerhetsskyddsanalys, anmälnings- och rapporteringsskyldighet, säkerhetsskyddsåtgärder, säkerhetsskyddsklassificering och säkerhetsskyddsavtal, förfarandet vid registerkontroll och verkställigheten av säkerhetsskyddslagen i övrigt (7 kap 4 § nya säkerhetsskyddsförordningen).
5 Företaget ska följa Försvarsmaktens föreskrifter ifråga om kryptografiska funktioner som är avsedda för skydd av säkerhetskänslig verksamhet (7 kap 5 § första stycket 1 nya säkerhetsskyddsförordningen).
6 Företaget ska, beroende på vad företaget bedriver för verksamhet, följa föreskrifter som meddelats av Svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen eller länsstyrelserna (7 kap 8 § nya säkerhetsskyddsförordningen). Vilka områden dessa myndigheter ansvarar för står i 7 kap 1 § första stycket 3-6 nya säkerhetsskyddsförordningen.
| Myndighet | Ansvarsområde |
|---|---|
| Svenska kraftnät | Företag som bedriver elförsörjningsverksamhet. |
| Transportstyrelsen | Företag som bedriver flygtrafiktjänst för civil luftfart, flygtrafikledningstjänst för militär luftfart och verksamhet som i övrigt är av betydelse för luftfartsskydd, hamnskydd och sjöfartsskydd. |
| Post- och telestyrelsen | Företag som bedriver verksamhet som avser elektronisk kommunikation och posttjänst. |
| Länsstyrelserna | Alla andra företag som bedriver andra säkerhetskänsliga verksamheter än sådana som anges ovan. |
7 Svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen eller länsstyrelserna ska, beroende på vad företaget bedriver för verksamhet, lämna råd om säkerhetsskydd till företaget (7 kap 11 § nya säkerhetsskyddsförordningen).
8 Ett företag som avser att ingå ett säkerhetsskyddsavtal för att ingå avtal om varor, tjänster eller byggentreprenader ska, beroende på vad företaget bedriver för verksamhet, anmäla det till Svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen eller länsstyrelserna (2 kap 5 § nya säkerhetsskyddsförordningen).
9 Om företaget har ingått ett säkerhetsskyddsavtal med en leverantör av varor, tjänster eller byggentreprenader ska företaget anmäla det till Säkerhetspolisen. Anmälan ska också göras när ett säkerhetsskyddsavtal upphör att gälla (2 kap 7 § nya säkerhetsskyddsförordningen).
10 Ett företag som avser att ingå ett avtal om varor, tjänster eller byggentreprenader med en utomstående leverantörer ska se till att det i ett säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd ska tillgodoses av leverantören (2 kap 6 § första och tredje styckena nya säkerhetsskyddslagen).
11 Företaget ska kontrollera att leverantören följer säkerhetsskyddsavtalet (2 kap. 6 § andra och tredje styckena nya säkerhetsskyddslagen).
12 Svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen eller länsstyrelserna ska, beroende på vad företaget bedriver för verksamhet, besluta om placering i säkerhetsklass 2 och 3 i fråga om anställning eller annat deltagande i verksamhet hos företaget som de utövar tillsyn över (5 kap 11 § nya säkerhetsskyddsförordningen).
13 Säkerhetspolisen ska utföra en registerkontroll efter ansökan från den myndighet som beslutat om placering i säkerhetsklass (5 kap 15 § första stycket nya säkerhetsskyddsförordningen).
14 Företaget ska skriftligen samråda med Säkerhetspolisen innan ett it-system som kan förutses komma att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre tas i drift, eller i väsentliga avseenden förändras. Företaget ska även samråda för andra it-system om obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig (3 kap 2 § nya säkerhetsskyddsförordningen).
15 Företaget ska anmäla till Säkerhetspolisen om: en säkerhetsskyddsklassificerad uppgift kan ha röjts, det inträffat en it-incident i ett it-system som företaget är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller företaget får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet (2 kap 10 § första stycket nya säkerhetsskyddsförordningen).
16 Svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen eller länsstyrelserna ska, beroende på vad företaget bedriver för verksamhet, utöva tillsyn över företagets säkerhetsskydd (7 kap 1 § första stycket 3-6 nya säkerhetsskyddsförordningen).
17 Svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen eller länsstyrelserna får, beroende på vad företaget bedriver för verksamhet, utöva tillsyn över säkerhetsskyddet hos leverantör som omfattas av ett säkerhetsskyddsavtal (7 kap 1 § andra stycket nya säkerhetsskyddsförordningen).
18-19 Om Svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen eller länsstyrelserna vid tillsyn konstaterar allvarliga brister som trots påpekanden inte rättas till av företaget ska myndigheten informera både Säkerhetspolisen och Försvarsmakten (7 kap 3 § andra stycket nya säkerhetsskyddsförordningen).
20 Säkerhetspolisen får (streckad linje) utöva tillsyn över företagets säkerhetsskydd (7 kap 2 § första stycket nya säkerhetsskyddsförordningen).
21 Försvarsmakten får (streckad linje) utöva tillsyn över företagets säkerhetsskydd (7 kap 2 § första stycket nya säkerhetsskyddsförordningen).
22 Säkerhetspolisen får (streckad linje) utöva tillsyn över leverantörer som har uppdrag för flera verksamhetsutövare om leverantörens samlade uppdrag är av stor betydelse för Sveriges säkerhet (7 kap 2 § andra stycket nya säkerhetsskyddsförordningen).
23 Försvarsmakten får (streckad linje) utöva tillsyn över leverantörer som har uppdrag för flera verksamhetsutövare om leverantörens samlade uppdrag är av stor betydelse för Sveriges säkerhet (7 kap 2 § andra stycket nya säkerhetsskyddsförordningen).
≈ ≈ ≈
Näringslivet tillhandahåller varor och tjänster som samhället är beroende av. Företag utför en stor del av den samhällsviktiga verksamheten. Men all verksamhet, även om den är samhällsviktig, är inte av betydelse för Sveriges säkerhet. Ett gott råd till företagen är att i en säkerhetsskyddsanalys först undersöka behovet av säkerhetsskydd innan företaget vidtar några säkerhetsskyddsåtgärder.
I dagarna kommer ett betänkande från en utredning (Ju 2017:08) om bl.a. utkontraktering av säkerhetskänslig verksamhet, sanktioner och tillsyn (dir 2017:32 [PDF] och dir 2018:2 [PDF]). Det kan därför komma ytterligare skärpning av reglerna i säkerhetsskyddslagen som omfattar företag. Det finns inga sanktionsmöjligheter i den nya säkerhetsskyddslagen. Det finns däremot i dataskyddsförordningen och NIS-direktivet. Enligt regeringen (sidan 8 i dir 2017:32) är det:
”djupt otillfredsställande om den som bedriver verksamhet med betydelse för Sveriges säkerhet, och som åsidosatt sitt säkerhetsskyddsarbete, inte skulle kunna åläggas sanktioner när en sådan möjlighet finns för vissa aktörer som omfattas av NIS-direktivet och som brustit i sitt arbete med informationssäkerhet.”
Man behöver inte vara rysk raketforskare för att förstå att det sannolikt kommer fler skyldigheter för företag och att myndigheter kommer få fler uppgifter. Bilden kommer att innehålla fler streck. Den ökade regleringen är tecken på säkerhetsskyddsområdets ökade mognad.
≈ ≈ ≈
Det här inlägget är baserat på underlag som jag tog fram för ett föredrag under årets Chief Information Assurance Officer (CIAO)-kurs på Försvarshögskolan.
/Kim Hakkarainen