Killgissningar om säkerhetsskydd

På vägen till kontoret lyssnade jag på Säkerhetspodcasten. Avsnittet handlade om den nya säkerhetsskyddslagen, men jag märkte snabbt att de inte hade koll. Det finns flera fel och tveksamheter i avsnittet. Jag tar upp fem här.

Påståendet att säkerhetsskyddsklassificering främst är en anpassning mot ”Nato-standard”

Säkerhetsskyddsklasserna i säkerhetsskyddslagen är ingen anpassning specifikt för Nato. Många länder har en indelning i fyra nivåer av säkerhetsskyddsklassificerad information – även om de inte är medlemmar i Nato. Sverige är inte medlem i Nato. Däremot är vi medlemmar i EU som också har delat in säkerhetsskyddsklassificerad EU-information i fyra nivåer. Att dela in säkerhetsskyddsklassificerad information i de fyra säkerhetsskyddsklasserna underlättar internationellt samarbete där det finns sådan information. Oavsett om det är fråga om samarbete mellan Sverige och ett annat land eller när Sverige samarbetar i mellanfolkliga organisationer.

Jämförelse mellan Sveriges säkerhetsskyddsklasser och motsvarigheterna hos några länder och mellanfolkliga organisationer. Källa: Tillägg B till Rådets beslut om säkerhetsbestämmelser för skydd av säkerhetsskyddsklassificerade EU-uppgifter (sidan 45 i PDF) och bilaga 2 i Försvarsmaktens handbok för sekretessbedömning (H SÄK Sekrbed A) (PDF). Klicka på bilden för större bild.

Påståendet att endast information som omfattas av sekretess enligt 15 kap 2 § OSL ska klassificeras i en av de fyra säkerhetsskyddsklasserna

Även information som omfattas av sekretess enligt någon annan bestämmelse än 15 kap 2 § OSL kan vara säkerhetsskyddsklassificerad och ska då delas in i en säkerhetsskyddsklass.

Villkoren för sekretess i 15 kap 2 § OSL (försvarssekretessen) är särskilt relevant för att avgöra vilken information i en verksamhet som är säkerhetsskyddsklassificerad. Men även andra sekretessbestämmelser är relevanta för bedömningen. Det kan vara sekretess enligt 15 kap 1 § OSL (utrikessekretessen) och flera av sekretessbestämmelserna i 18 kap OSL. Jag utesluter inte att 18 kap 8 § OSL (sekretess för säkerhets- och bevakningsåtgärder) kan vara aktuell. Det finns ingen uttömmande förteckning på vilka sekretessbestämmelser som är relevanta. Information som omfattas av sekretess enligt någon av de här sekretessbestämmelserna är inte alltid säkerhetsskyddsklassificerad, förutom information som omfattas av försvarssekretess som alltid är det. Frågan om sekretess beskrivs kortfattat på sidorna 52 och 135 i regeringens proposition om den nya säkerhetsskyddslagen (prop 2017/18:89) (PDF).

Påståendet att säkerhetsskyddsanalysen måste uppdateras årligen

I 2 kap 1 § andra stycket säkerhetsskyddsförordningen finns kravet att analysen ska ”hållas uppdaterad”. Enligt 2 kap 10 § Säkerhetspolisens föreskrifter (PMFS 2019:2) (PDF) om säkerhetsskydd ska analysen ”uppdateras vid behov, dock minst en gång vartannat år”. I betänkandet om kompletteringar till den nya säkerhetsskyddslagen finns ett förslag om ändring av förordningen så att analysen ska uppdateras ”åtminstone årligen” (sidorna 59 och 434 i SOU 2018:82). Men det är inte det som gäller nu. Sektorsinkluderingarna?

Påståendet att Säkerhetspolisen och Försvarsmakten är samordningsmyndigheter och överordnade alla andra tillsynsmyndigheter

Det finns i säkerhetsskyddslagen och säkerhetsskyddsförordningen inte någon bestämmelse som innebär att Säkerhetspolisen och Försvarsmakten är samordningsmyndigheter och överordnade övriga tillsynsmyndigheter. Det föreslås dock i betänkandet om kompletteringar till den nya säkerhetsskyddslagen (sidorna 65-66 och 356-360 i SOU 2018:82).

Påståendet att länsstyrelserna har ansvar för tillsyn över kommunala verksamheter

Det är Säkerhetspolisen som enligt 7 kap 1 § första stycket 2 säkerhetsskyddsförordningen utövar tillsyn över kommuner. Beroende på vilken verksamhet som ett kommunalt bolag verkar inom utövas tillsynen av Svenska kraftnät, Transportstyrelsen, Post- och telestyrelsen eller länsstyrelserna, enligt 7 kap 1 § första stycket 3-6 säkerhetsskyddsförordningen. Länsstyrelserna har uppgiften endast då Svenska kraftnät, Transportstyrelsen eller Post- och telestyrelsen inte har uppgiften.

≈ ≈ ≈

Just nu är det vanligt att läsa och höra påståenden om den nya säkerhetsskyddslagstiftningen som inte är korrekta. En förklaring kan vara att det ännu inte finns vägledningar och handböcker från Säkerhetspolisen och Försvarsmakten som förklarar den nya säkerhetsskyddslagen. Det finns heller inga utbildningar som har kvalitetssäkrats av myndigheterna. Det finns en webbaserad grundläggande säkerhetsskyddsutbildning som arrangeras av Försvarshögskolan och som är kvalitetssäkrad av Säkerhetspolisen.

En annan förklaring är att redan innan den 1 april 2019, då den nya säkerhetsskyddslagen trädde i kraft, hade ytterligare skärpningar utretts och förslag lämnats i ett betänkande (SOU 2018:82) som sedan remissbehandlats. Förslagen är just förslag och ska inte förväxlas med bestämmelser i lag, förordning och föreskrifter som gäller.

Att Sveriges första och största podd om it-säkerhet sprider felaktiga påståenden är allvarligt. Dessa riskerar få stor spridning och kan leda till missförstånd, merarbete och brister i säkerhetsskyddet.

≈ ≈ ≈

För att vara en podd som handlar om it-säkerhet var det väldigt lite av det i avsnittet. Det som togs upp handlade om signalskydd (dvs att säkerhetsskyddsklassificerad information skyddas med kryptografiska funktioner som har godkänts av Försvarsmakten). Jag kommer fortsätta att lyssna. Det skulle vara intressant att senare få höra mer om erfarenheter av arbetet med it-säkerhet i system för säkerhetskänslig verksamhet.

≈ ≈ ≈

Killgissning var enligt Språkrådet ett nyord 2017 (PDF) och betyder ”påstå något på ett sätt som gör att det verkar som om man vet vad man pratar om fast man egentligen bara gissar”. Jag tycker ordet passar bra in i Säkerhetspodcastens format.

/Kim Hakkarainen

3 kommentarer

Publicerad i Säkerhetsskydd

3 kommentarer till Killgissningar om säkerhetsskydd

  1. Peter Österberg

    Skönt att du inte Kimgissar! Me like!

  2. Robin

    Kan vi reda ut det här med informationssäkerhetsklassning av 18 kap 8 §?

    Uppgifter som faller under 18 kap 8 § är sekretessbelagda enligt OSL (de kan också därför även kallas säkerhetsskyddsklassificerade enligt säkerhetsskyddslagen 1 kap 2 §), men inte hemliga (annars hade de ju fallit under 15 1/2).

    Och enligt säkerhetsskyddslagen 2 kap 5 §: ”Säkerhetsskyddsklassificerade uppgifter ska delas in i säkerhetsskyddsklasser utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet….”

    Jag tolkar det därför att alla uppgifter som faller under någon form av sekretess enligt OSL inte bara kan, de SKA delas in i en säkerhetsskyddsklass. Det inkluderar 18 kap 8 § OSL.

    Tolkar jag det fel?

    • Kim Hakkarainen

      Hej Robin, tack för din fråga!

      Ja, du tolkar det fel. Alla uppgifter som omfattas av sekretess enligt OSL är inte säkerhetsskyddsklassificerade uppgifter.

      För att en uppgift ska vara en säkerhetsskyddsklassificerad uppgift krävs att uppgiften rör säkerhetskänslig verksamhet och därför omfattas av sekretess enligt OSL (1 kap 2 § SäkL).

      Säkerhetskänslig verksamhet är verksamhet som är av betydelse för Sveriges säkerhet, eller som omfattas av ett för Sverige förpliktigande internationellt åtagande om säkerhetsskydd (1 kap 1 § SäkL).

      Det finns hundratals sekretessbestämmelser i OSL. Endast i några fall handlar sekretessens föremål om något som kan vara säkerhetskänslig verksamhet. Ett exempel är sekretessen enligt 15 kap 2 § OSL (försvarssekretessen). Uppgifter som omfattas av försvarssekretess är alltid säkerhetsskyddsklassificerade uppgifter. Det ligger i sakens natur, eftersom uppgifterna handlar om verksamhet, planläggning eller förberedelse för att försvara Sverige eller annan verksamhet som behövs för att förbereda Sverige för krig.

      Uppgifter som omfattas av sekretess enligt 18 kap 8 § OSL handlar om säkerhets- eller bevakningsåtgärder inom sju områden, bl a telekommunikation. Skyddet som den sekretessen ger är bl a till för att förhindra brott mot Sveriges säkerhet och sabotage (sidan 142 i prop 1979/80:2 Del A) (54 MB PDF). En uppgift som rör säkerhetskänslig verksamhet och därför omfattas av sekretess enligt 18 kap 8 § OSL är då en säkerhetsskyddsklassificerad uppgift.

      Ett annat område som sekretess enligt 18 kap 8 § OSL ska skydda är säkerhets- eller bevakningsåtgärder för förvaring av pengar. En ritning på ett bankvalv kan därför omfattas av den sekretessen. Bankvalvet och de förvarade pengarna är mycket sällan säkerhetskänslig verksamhet, varför uppgifterna som omfattas av den sekretessen i det fallet inte är säkerhetsskyddsklassificerade uppgifter.

      Svaret på din fråga är: ”Det beror på”. Även om uppgifter som omfattas av sekretess enligt 15 kap 2 § OSL alltid är säkerhetsskyddsklassificerade, betyder det inte att uppgifter som omfattas av någon annan sekretessbestämmelse också alltid är säkerhetsskyddsklassificerade. Alla uppgifter som omfattas av sekretess enligt 15 kap 1 § eller 18 kap 8 § OSL är inte säkerhetsskyddsklassificerade, men vissa kan var det.

      I din fråga skriver du om hemliga uppgifter kopplat till 15 kap 1 och 2 §§ OSL. Det är det äldre begreppet som användes i gamla säkerhetsskyddsförordningen för uppgifter som omfattades av sekretess och som rörde rikets säkerhet. Det begreppet har i nya säkerhetsskyddslagen ersatts av säkerhetsskyddsklassificerade uppgifter. Men begreppet hemlig lever kvar i den nya säkerhetsskyddslagen som en av fyra säkerhetsskyddsklasser (2 kap 5 § SäkL).

      /Kim Hakkarainen

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *

Denna webbplats använder Akismet för att minska skräppost. Lär dig hur din kommentardata bearbetas.