De olika säkerhetsskyddsåtgärderna

Det finns tre olika typer av säkerhetsskyddsåtgärder, nämligen infor-mationssäkerhet, fysisk säkerhet och personalsäkerhet. Åtgärderna, som beskrivs i 2 kap. 2–4 §§ nya säkerhetsskyddslagen, har delvis olika syften.

Informationssäkerhet handlar till att börja med om skydd för säker-hetsskyddsklassificerade uppgifter. Säkerhetsskyddsåtgärderna ska förebygga att sådana uppgifter obehörigen röjs, ändras, görs otill-gängliga eller förstörs. Det kan t.ex. vara fråga om att anpassa ett informationssystems säkerhetsfunktioner så att uppgifterna får ett

tillräckligt skydd. Vidare handlar informationssäkerhet om att före-bygga skadlig inverkan i övrigt på uppgifter och informationssystem som avser säkerhetskänslig verksamhet. Det handlar då framför allt om skyddsåtgärder för att tillgodose behov av tillgänglighet och riktighet i fråga om uppgifter och informationssystem som inte utgör eller innehåller säkerhetsskyddsklassificerade uppgifter, men som har avgörande betydelse för viktiga samhällsfunktioner. Det kan t.ex. vara fråga om skydd för uppgifter och informationssystem som har en avgörande betydelse för styrning, reglering och övervak-ning av el- och vattenförsörjövervak-ning och digital infrastruktur eller sådana sammanställningar av uppgifter, t.ex. folkbokföringsregistret, som är av grundläggande betydelse för ett fungerande samhälle. Med uppgifter och informationssystem avses i detta sammanhang både själva uppgifterna och de tekniska system som används för att i olika avseenden elektroniskt behandla uppgifter.

Fysisk säkerhet handlar bl.a. om att förebygga att obehöriga per-soner får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs.

Åtgärden kan också avse skydd mot sådan skadlig inverkan som or-sakas utan ett obehörigt tillträde. Det skulle exempelvis kunna röra sig om att en kabel för samhällsviktig elektronisk kommunikation skyddas genom ett robust hölje eller larm eller åtgärder för att skydda ett objekt mot obemannade luftfartyg, s.k. drönare.

Den tredje och sista säkerhetsskyddsåtgärden är personalsäkerhet.

Personalsäkerhet handlar bl.a. om att förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i vissa verksamheter.

Det som avses är verksamhet där de kan få tillgång till skyddsklassificerade uppgifter eller en verksamhet som är säkerhets-känslig av någon annan anledning, t.ex. deltagande i verksamhet vid ett skyddsobjekt enligt skyddslagen (2010:305). En nyhet i nya säkerhetsskyddslagen är att personalsäkerhet också inkluderar en skyldighet för verksamhetsutövaren att säkerställa att de som deltar i säkerhetskänslig verksamhet har en tillräcklig kunskap om säker-hetsskydd. En viktig del av säkerhetsskyddet är alltså att det görs utbildnings- och informationsinsatser för att höja kunskapen om verksamhetens säkerhetsskydd och för att öka förståelsen och accep-tansen för det.

Säkerhetsskyddsåtgärder kan potentiellt vara kostsamma och med-föra en risk för negativ påverkan på en verksamhets funktionalitet, effektivitet och tillgänglighet. Åtgärderna kan även vara mycket ingripande för enskilda. Som ett exempel kan nämnas inhämtande av känsliga uppgifter om en enskilds personliga förhållanden inom ramen för personalsäkerhetsåtgärder. Med hänsyn till detta finns det i nya säkerhetsskyddslagen ett uttryckligt krav på att säkerhets-skyddsåtgärderna så långt det är möjligt ska utformas så att de inte medför skada eller annan olägenhet för andra allmänna eller enskilda intressen (2 kap. 1 § fjärde stycket).

3.4.6 Säkerhetsskyddsavtal

En grundtanke i säkerhetsskyddsregleringen är att de intressen som reglerna slår vakt om ska ha samma skydd oavsett om verksamheten bedrivs av det allmänna eller av enskilda. Denna tanke kommer bl.a.

till uttryck i regler som innebär att verksamhetsutövare i vissa fall är skyldiga att ingå ett säkerhetsskyddsavtal med en leverantör (2 kap.

6 § nya säkerhetsskyddslagen). Ett säkerhetsskyddsavtal är ett avtal där det klargörs för en leverantör hur denne ska tillgodose kraven på säkerhetsskydd, när sådana krav gäller.

För statliga myndigheter, kommuner och landsting gäller skyl-digheten att ingå säkerhetskyddssavtal med leverantören när verk-samhetsutövaren avser att genomföra en upphandling och ingå ett avtal om varor, tjänster eller byggentreprenad (2 kap. 6 § första stycket nya säkerhetsskyddslagen). Förutsättningen för att det ska gälla en skyldighet att teckna säkerhetsskyddsavtal är

1. att det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller 2. att upphandlingen i övrigt avser eller ger leverantören tillgång till

säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

En motsvarande skyldighet att teckna säkerhetsskyddsavtal gäller för enskilda verksamhetsutövare som ingår avtal om varor, tjänster eller byggentreprenader med utomstående leverantörer (andra stycket i den nyss nämnda bestämmelsen).

Reglerna om säkerhetsskyddsavtal förutsätter att verksamhetsutöv-aren utreder behovet av säkerhetsskyddsåtgärder så att dessa kan preciseras i avtalet. Det är viktigt att framhålla att säkerhetsskyddet inte får göras mindre långtgående än vad som följer av lagen. En leverantör som omfattas av säkerhetsskyddslagen kan alltså inte gen-om ett säkerhetsskyddsavtal åläggas mindre gen-omfattande säkerhets-skyddsåtgärder än som redan gäller för verksamheten enligt lagen.

Däremot kan ett säkerhetsskyddsavtal fylla funktionen att det preci-serar säkerhetsskyddet hos leverantören för att passa den aktuella upphandlingen.

Skyldigheten att se till att det ingås ett säkerhetsskyddsavtal gäller även om leverantören har sin juridiska hemvist i ett annat land.

Den som har ingått ett säkerhetsskyddsavtal med en leverantör är skyldig att kontrollera att leverantören följer avtalet. Kontrollskyldig-heten gäller för såväl offentliga som enskilda verksamhetsutövare och innebär en skyldighet att se till att avtalsvillkoren följs.

Den 1 april 2018 skärptes kraven på statliga myndigheter som avser att inleda en säkerhetsskyddad upphandling. Numera gäller enligt 16 a § gamla säkerhetsskyddsförordningen att en statlig myn-dighet som avser att inleda en upphandling som innebär krav på säkerhetsskyddsavtal i vissa fall måste använda ett särskilt förfaran-de. Motsvarande regler finns även i 2 kap. 6 § nya säkerhetsskydds-förordningen. Innebörden av bestämmelserna utvecklas närmare i avsnitt 6.3.2.

3.4.7 Bemyndigande

Enligt 2 kap. 7 § nya säkerhetsskyddslagen får regeringen, eller den myndighet som regeringen bestämmer, meddela föreskrifter om anmälnings- och rapporteringsskyldighet och även i övrigt vad som krävs för att uppfylla bestämmelserna i 2 kap. nya säkerhetsskydds-lagen. Föreskrifter om anmälnings- och rapporteringsskyldighet kan t.ex. avse en skyldighet att anmäla röjande av en säkerhetsskydds-klassificerad uppgift, allvarligt säkerhetshotande verksamhet, brister i säkerhetsskyddet och ingående av säkerhetsskyddsavtal samt rap-portering av it-incidenter. Andra slags föreskrifter som kan meddelas med stöd av bemyndigandet är t.ex. föreskrifter om vilka närmare åtgärder en verksamhetsutövare ska vidta för att identifiera och

värdera skyddsvärden inom ramen för arbetet med sin säkerhets-skyddsanalys, samt hur man ska uppfylla kraven på säkerhetsskydds-klassificering, informationssäkerhet, fysisk säkerhet och personal-säkerhet.

Regeringen eller den myndighet som regeringen bestämmer kan vidare med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om verkställighet av nya säkerhetsskyddslagen.