Killgissningar om säkerhetsskydd

På vägen till kontoret lyssnade jag på Säkerhets­podcasten. Avsnittet handlade om den nya säkerhetsskyddslagen, men jag märkte snabbt att de inte hade koll. Det finns flera fel och tveksamheter i avsnittet. Jag tar upp fem här.

Säkerhetspodcastens logga.

Påståendet att säkerhetsskydds­klassificering främst är en anpassning mot ”Nato-standard”

Säkerhetsskyddsklasserna i säkerhetsskyddslagen är ingen anpassning specifikt för Nato. Många länder har en indelning i fyra nivåer av säkerhetsskydds­klassificerad information – även om de inte är medlemmar i Nato. Sverige är inte medlem i Nato. Däremot är vi medlemmar i EU som också har delat in säkerhetsskydds­klassificerad EU-information i fyra nivåer. Att dela in säkerhetsskydds­klassificerad information i de fyra säkerhetsskydds­klasserna underlättar internationellt samarbete där det finns sådan information. Oavsett om det är fråga om samarbete mellan Sverige och ett annat land eller när Sverige samarbetar i mellanfolkliga organisationer. Tabellen nedan jämför Sveriges säkerhetsskydds­klasser och motsvarigheterna hos några länder och mellanfolkliga organisationer.1 2

Tabell

Jämförelse mellan Sveriges säkerhetsskyddsklasser och motsvarigheterna hos några länder och mellanfolkliga organisationer. Klicka på bilden för större bild.

Se även blogginlägget Sveriges internationella säkerhets­skydds­­avtal där jag förklarar avtalen. Inlägget har unik tabell över avtalen och jämförelse av säkerhetsskydds­klasser.

Påståendet att endast information som omfattas av sekretess enligt 15 kap 2 § OSL ska klassificeras i en av de fyra säkerhetsskyddsklasserna

Även information som omfattas av sekretess enligt någon annan bestämmelse än 15 kap 2 § OSL kan vara säkerhetsskydd­sklassificerad och ska då delas in i en säkerhetsskyddsklass.1

Villkoren för sekretess i 15 kap 2 § OSL (försvarssekretessen) är särskilt relevant för att avgöra vilken information i en verksamhet som är säkerhetsskydds­klassificerad. Men även andra sekretess­bestämmelser är relevanta för bedömningen. Det kan vara sekretess enligt 15 kap 1 § OSL (utrikessekretessen) och flera av sekretess­bestämmelserna i 18 kap OSL. Jag utesluter inte att 18 kap 8 § OSL (sekretess för säkerhets- och bevakningsåtgärder) kan vara aktuell. Det finns ingen uttömmande förteckning på vilka sekretess­bestämmelser som är relevanta. Information som omfattas av sekretess enligt någon av de här sekretess­bestämmelserna är inte alltid säkerhetsskydds­klassificerad, förutom information som omfattas av försvarssekretess som alltid är det. Frågan om sekretess beskrivs kortfattat på sidorna 52 och 135 i regeringens proposition om den nya säkerhets­skydds­lagen (prop 2017/18:89) (PDF).

Påståendet att säkerhetsskydds­analysen måste uppdateras årligen

I 2 kap 1 § andra stycket säkerhetsskydds­förordningen finns kravet att analysen ska ”hållas uppdaterad”. Enligt 2 kap 10 § Säkerhetspolisens föreskrifter (PMFS 2019:2) (PDF) om säkerhetsskydd ska analysen ”uppdateras vid behov, dock minst en gång vartannat år”. I betänkandet om kompletteringar till den nya säkerhetsskydds­lagen finns ett förslag om ändring av förordningen så att analysen ska uppdateras ”åtminstone årligen” (sidorna 59 och 434 i SOU 2018:82). Men det är inte det som gäller nu. Sektorsinkluderingarna?

Påståendet att Säkerhetspolisen och Försvarsmakten är samordnings­myndigheter och överordnade alla andra tillsyns­myndigheter

Det finns i säkerhetsskydds­lagen och säkerhetsskydds­förordningen inte någon bestämmelse som innebär att Säkerhetspolisen och Försvarsmakten är samordnings­myndigheter och överordnade övriga tillsyns­myndigheter. Det föreslås dock i betänkandet om kompletteringar till den nya säkerhetsskydds­lagen (sidorna 65-66 och 356-360 i SOU 2018:82).

Påståendet att länsstyrelserna har ansvar för tillsyn över kommunala verksamheter

Det är Säkerhetspolisen som enligt 7 kap 1 § första stycket 2 säkerhetsskydds­förordningen utövar tillsyn över kommuner. Beroende på vilken verksamhet som ett kommunalt bolag verkar inom utövas tillsynen av Svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen eller länsstyrelserna, enligt 7 kap 1 § första stycket 3-6 säkerhetsskydds­förordningen. Länsstyrelserna har uppgiften endast då Svenska kraftnät, Transportstyrelsen eller Post- och telestyrelsen inte har uppgiften.

≈ ≈ ≈

Just nu är det vanligt att läsa och höra påståenden om den nya säkerhetsskydds­lagstiftningen som inte är korrekta. En förklaring kan vara att det ännu inte finns vägledningar och handböcker från Säkerhetspolisen och Försvarsmakten som förklarar den nya säkerhetsskyddslagen. Det finns heller inga utbildningar som har kvalitetssäkrats av myndigheterna. Det finns en webbaserad grundläggande säkerhetsskydds­utbildning som arrangeras av Försvarshögskolan och som är kvalitetssäkrad av Säkerhetspolisen.

En annan förklaring är att redan innan den 1 april 2019, då den nya säkerhetsskyddslagen trädde i kraft, hade ytterligare skärpningar utretts och förslag lämnats i ett betänkande (SOU 2018:82) som sedan remissbehandlats. Förslagen är just förslag och ska inte förväxlas med bestämmelser i lag, förordning och föreskrifter som gäller.

Att Sveriges första och största podd om it-säkerhet sprider felaktiga påståenden är allvarligt. Dessa riskerar få stor spridning och kan leda till missförstånd, merarbete och brister i säkerhetsskyddet.

≈ ≈ ≈

För att vara en podd som handlar om it-säkerhet var det väldigt lite av det i avsnittet. Det som togs upp handlade om signalskydd (dvs att säkerhetsskydds­klassificerad information skyddas med kryptografiska funktioner som har godkänts av Försvarsmakten). Jag kommer fortsätta att lyssna. Det skulle vara intressant att senare få höra mer om erfarenheter av arbetet med it-säkerhet i system för säkerhetskänslig verksamhet.

≈ ≈ ≈

Killgissning var enligt Språkrådet ett nyord 2017 (PDF) och betyder ”påstå något på ett sätt som gör att det verkar som om man vet vad man pratar om fast man egentligen bara gissar”. Jag tycker ordet passar bra in i Säkerhetspodcastens format.

/Kim Hakkarainen


  1. Tillägg B till Rådets beslut om säkerhetsbestämmelser för skydd av säkerhetsskydds­klassificerade EU-uppgifter (sidan 45 i PDF). ↩︎

  2. Bilaga 2 i Försvarsmaktens handbok för sekretessbedömning (H SÄK Sekrbed A) (PDF). rel="noopener noreferrer">PDF). ↩︎