Säkerhetspolisens och Försvarsmaktens tillsynsansvar enligt säkerhetsskyddslagen 25

3.3 Begreppet samhällsviktiga informationssystem

3.3.4 Säkerhetspolisens och Försvarsmaktens tillsynsansvar enligt säkerhetsskyddslagen 25

För att säkerställa regleringens effektivitet innehåller säkerhetsskyddslagen även bestämmelser om tillsyn av verksamhetsutövarnas tillämpning av lagen. I 4 § säkerhetsskyddslagen stadgas att regeringen bestämmer vilka myndigheter som ska utöva tillsyn över säkerhetsskyddet hos de verksamheter som omfattas av lagen.

Enligt 2 kap. 7 § säkerhetsskyddslagen får regeringen eller den myndighet som regeringen bestämmer meddela ytterligare föreskrifter om anmälnings- och rapporteringsskyldigheten. Säkerhetsskyddsförordning (2018:658) (säkerhetsskyddsförordningen) innehåller kompletterande bestämmelser till säkerhetsskyddslagen. Av säkerhetsskyddsförordningens 7 kap. 1 § framgår vilka myndigheter som har tillsynsansvar enligt säkerhetsskyddslagen. Säkerhetspolisen och Försvarsmakten är två av de sju tillsynsmyndigheterna. I säkerhetsskyddsförordningens 2 kap. 10 § stadgas det under vilka omständigheter verksamhetsutövaren ska anmäla om särskilda händelser till Säkerhetspolisen och Försvarsmakten. Under tre olika omständigheter ska verksamhetsutövaren anmäla till sin tillsynsmyndighet;

1. en säkerhetsskyddsklassificerad uppgift kan ha röjts,

2. det inträffat en IT-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller

3. verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet

79 Prop. 2017/18:89 s. 33.

Säkerhetspolisens och Försvarsmaktens respektive tillsynsansvar enligt säkerhetsskyddslagen kommer att redogöras för i kapitel 4.⁸⁰

3.4 Kriminaliseringen av främmande staters cyberattacker som hotar Sveriges säkerhet

3.4.1 Inledning

Som konstaterats ovan finns det ingen legaldefinition av begreppet cyberattack. I avsnitt 3.2 fastställdes att cyberattacker mot IT-system närmast är att se som dataintrång enligt 4 kap. 9 c § BrB. Inom ramen för denna uppsats behandlas sådana kvalificerade former av cyberattacker som företas av främmande stater med tydliga politiska motiv. Cyberattacker som företas av främmande stater är inte sällan noga planerade och riktar sig mot sådana IT-system som är avgörande för det svenska samhällets funktionalitet. Cyberattacker som riktas sig mot sådana verksamheters IT-system skiljer sig från övriga former av cyberattacker av framförallt en anledning, nämligen att cyberattackerna hotar Sveriges säkerhet.

Främmande staters cyberattacker mot svenska samhällsviktiga IT-system

Metoderna som används vid intrången i IT-systemen vid en cyberattack kan skilja sig åt.⁸¹ Motiven bakom cyberattackerna kan dessutom skilja sig åt. Gemensamt för de cyberattacker som främmande stater utför är att de i huvudsak har ett tydligt politiskt motiv.⁸²

80 Se särskilt avsnitt 4.2.3 för Säkerhetspolisens tillsynsansvar och avsnitt 4.3.3 för Försvarsmaktens tillsynsansvar.

81 Se avsnitt 3.2.2.

82 Prop. 2017/18:89 s. 33.

Skyddet av Sveriges säkerhet är brett och innefattar exempelvis Sveriges försvarsförmåga, politiska oberoende och demokratiska statsskick.⁸³ Cyberattacker som främmande stater utför mot samhällsviktiga IT-system kan innebära att den främmande staten olovligen bereder sig tillgång till hemlig information i IT-systemen.

Genom olovlig inhämtning av information kan främmande stater använda denna information för exempelvis påtryckningar mot Sveriges politik.⁸⁴

Det svenska demokratiska statsskicket och politik kan påverkas även på andra sätt av cyberattacker mot samhällsviktiga IT-system. Genom överbelastningsattacker kan främmande stater exempelvis släcka ned tillgången till IT-system vilket innebär att de svenska medborgarna mister möjligheten att få tillgång till information från exempelvis myndigheters hemsidor. Cyberattacker kan också användas för att sprida desinformation. Detta sker exempelvis genom planterade nyheter eller spridning av falska dokument. Dessa former av cyberattacker kan företas i syfte att försvaga medborgarnas förtroende för rättsstaten och kan leda till misstro för exempelvis regering och myndigheter.

Cyberattacker mot vissa samhällsviktiga IT-system skulle dessutom kunna leda till följdeffekter som har en direkt påverkan på människors hälsa. Exempelvis skulle cyberattacker mot el- och vattensystem kunna få allvarliga konsekvenser för människors hälsa om attackerna sker under vintertid. Ett annat exempel är cyberattacker mot data- och telekommunikationer som skulle kunna resultera i att det inte är möjligt att hämta ut läkemedel.

Även militära intressen kan ligga bakom cyberattacker. Dessutom kan cyberattacker användas som ett komplement till andra militära attacker som sker i ett senare skede. Cyberattacker kan användas i fredstid i ett inledande skede för kommande militära angrepp. I en rapport som Totalförsvarets forskningsinstitut (FOI) har tagit fram förklaras cyberangrepp i många fall vara ett typ av maktmedel

83 Prop. 1995/96:129 s. 22 f.

84 Prop. 2014/15:109 s. 40.

som aktören kan använda sig av för att skada det civila samhällets funktionalitet utan att angreppet uppfattas som krigföring.⁸⁵ Angreppen kan ha ett förberedande syfte för att möjliggöra sabotage av vitala IT-system i ett senare skede.⁸⁶ Ett cyberangrepp kan företas med syftet att vilseleda eller att sabotera för att sedan underlätta för en annan, kanske militär attack.

En orsak till komplexiteten i frågan om främmande staters cyberattacker mot samhällsviktiga IT-system är att sådana former av cyberattacker kan företas i gränslandet mellan fred och konflikt. Situationen som uppstår när cyberattacker utförs i det skedet brukar kallas för gråzon. Det oklara rättsläget leder ytterst till frågan om när och hur Sverige ska kunna använda militära medel vid främmande staters cyberattacker mot svenska samhällsviktiga IT-system som företas i gråzonen. En redogörelse för gråzonsproblematiken kommer att företas i kapitel 5.

Brott mot Sveriges säkerhet

Trots att svenska samhällsviktiga IT-system kontinuerligt utsätts för cyberattacker har den mest kvalificerade formen av cyberattacker som företas mot samhällsviktiga IT-system inte varit föremål för en djupare rättslig utredning. Varken i svenska förarbeten eller doktrin diskuteras kriminaliseringen av den mest kvalificerade formen av cyberattacker. Eftersom att cyberattacker är en relativt ny form av angrepp finns det inte heller ännu några rättspraxis att utgå ifrån i redogörelsen för dessa brott. I brist på rättskällor att utgå ifrån grundar sig tolkningen av dessa former av cyberattacker som brottslig handling på mina egna juridiska preferenser.

Som framgått av redogörelsen i avsnitt 3.3 anses ett stort antal verksamheter utgöra samhällsviktig verksamhet i enlighet med definitionen i ISDT. Ett mer begränsat antal verksamheter anses vara så nödvändiga för samhällets funktionalitet att dessa verksamheter är särskild skyddsvärda i enlighet med regleringen i

85 Jonsson s. 3.

86 Skr. 2016/17:213 s. 7.

säkerhetsskyddslagen. Något som karaktäriserar de verksamheter som omfattas av regleringen i säkerhetsskyddslagen är att angrepp mot dessa verksamheter direkt innebär ett hot mot Sveriges säkerhet.⁸⁷ Angrepp som riktar sig mot övriga samhällsviktiga verksamheters IT-system som omfattas av ISDT kan också innebära störningar av samhällets funktionalitet, men utgör inte nödvändigtvis hot mot Sveriges säkerhet. I förarbetet som låg till grund för de lagändringar som trädde i kraft i säkerhetsskyddslagen 2019 tydliggjordes definitionen av samhällsviktig verksamhet.⁸⁸ Samhällsviktig verksamhet definieras som en verksamhet som uppfyller antingen det ena eller båda av följande villkor.⁸⁹

- ”Ett bortfall av eller en svår störning i verksamheten kan ensamt eller tillsammans med motsvarande händelser i andra verksamheter på kort tid leda till att en allvarlig kris i samhället inträffar.

- Verksamheten är nödvändig eller mycket väsentlig för att en redan inträffad kris i samhället ska kunna hanteras så att skadeverkningarna blir så små som möjligt.”

Som framgått av redogörelsen för samhällets krisberedskap i avsnitt 2.4.2 saknas det även en enhetlig rättslig definition av begreppet kris. Den svenska krisberedskapen omfattar därför ett stort antal typer av incidenter som kan inträffa med olika intensitet.

Av de aktuella målen för samhällets krisberedskap framgår det att krisberedskapen syftar till att värna grundläggande värden som demokrati, rättssäkerhet och mänskliga fri- och rättigheter.⁹⁰ Cyberattacker mot samhällsviktiga IT-system som omfattas av ISDT:s tillämpningsområde kan även de få långtgående konsekvenser för samhällets funktionalitet. I de fall främmande stater riktar svåra cyberattacker mot flera samhällsviktiga IT-system samtidigt torde den samlade konsekvensen av dessa cyberattacker kunna innebära att Sveriges säkerhet hotas. Att cyberattacker företas

87 Prop. 2017/18:89 s. 44.

88 Prop. 2017/18:89 s. 39 f.

89 Prop. 2017/18:89 s. 39 f.

90 Prop. 2015/16:1 utg. omr. 6 s. 77.

mot samhällsviktiga IT-system som faller utanför säkerhetsskyddslagens tillämpningsområde bör enligt min analys inte utesluta möjligheten att cyberattackerna innebär ett hot mot Sveriges säkerhet.

Eftersom att kvalificerade statsunderstödda cyberattacker mot särskilt skyddsvärda verksamheters IT-system innebär hot mot Sveriges säkerhet angriper jag frågan om främmande staters cyberattacker mot samhällsviktiga IT-system genom att sortera in dessa former av cyberattacker under 19 kap. Brottsbalk (1962:700) (BrB) om brott mot Sveriges säkerhet. Detta gäller även cyberattacker mot sådana verksamheter som omfattas av ISDT, i de fall cyberattackerna mot dessa IT-system är så allvarliga att de innebär hot mot Sveriges säkerhet.

Ur brottsutredande synpunkt är det relevant att tydliggöra vilka former av cyberattacker som utgör brott mot Sveriges säkerhet eller ej för att utreda om det är Polismyndigheten, Säkerhetspolisen eller Försvarsmakten som har det brottsutredande ansvaret för den kriminaliserade handlingen. Cyberattacker som inte utgör brott mot Sveriges säkerhet är som ovan konstaterat kriminaliserat genom bestämmelserna i 4 kap. 9 c § BrB om dataintrång. Det brottsutredande ansvaret för brott som utgör dataintrång har Polismyndigheten i enlighet med bestämmelserna i 2

§ p. 3 polislagen (1984:387) (PL). Brott mot Sveriges säkerhet innefattas som huvudregel i Säkerhetspolisens brottsutredande ansvar i enlighet med 3 § PL, och under vissa omständigheter omfattas de av Försvarsmaktens brottsutredande ansvar i enlighet med 1 § st. 2 förordning (1980:123) med reglemente för militärpolisen reglerar militärpolisens uppgifter och befogenheter. En mer djupgående redogörelse för Säkerhetspolisens och Försvarsmaktens brottsutredande ansvar för främmande staters cyberattacker mot samhällsviktiga informationssystem kommer i kapitel 4.⁹¹

91 Se särskilt avsnitt 4.3.3 och avsnitt 4.4.2.

4 Säkerhetspolisens respektive

Försvarsmaktens verksamheter

4.1 Inledning

Av de föregående kapitlen framgår det att sårbarheterna i Sveriges vitala IT-system och det ökade hotet från främmande staters cyberattacker mot samhällets funktionalitet är en av Sveriges mest komplexa utmaningar.⁹² De allvarliga konsekvenser som dessa kvalificerade cyberattacker kan innebära för Sveriges säkerhet förutsätter ett robust arbete för att stärka Sveriges informations- och cybersäkerhet. Komplexiteten i bekämpningen av cyberattacker kräver en samlad förmåga i hela samhället under såväl freds-, kris-, och krigstid. Såväl Säkerhetspolisen och Försvarsmakten har nyckelroller i brottsbekämpningen av främmande staters cyberattacker mot samhällsviktiga IT-system. Detta avsnitt syftar till att redogöra för Säkerhetspolisens och Försvarsmaktens respektive brottsbekämpande arbete mot cyberattacker som företas mot samhällsviktiga IT-system. Redogörelsen är uppdelad i två delar som syftar till att utreda hur ansvarsfördelningen skiljer sig åt beroende på om cyberattackerna företas i fredstid eller krigstid.

En del i uppsatsens syfte är att utreda ansvaret för brottsbekämpningen av cyberattacker som företas i den gråzon som uppstår när främmande stater genomför cyberattacker i gränslandet mellan fred och krig. En förutsättning för att förstå gråzonsproblematiken är att ha en förståelse för rättsläget i fred respektive i krig.

Utredningen av Säkerhetspolisens och Försvarsmaktens respektive brottsbekämpande ansvar för cyberattacker i fredstid och krigstid ligger till grund för den kommande analysen av gråzonsproblematiken i kapitel 5.

92 Prop. 2014/15:109 s. 11.

32 4.1.1 Något om begreppet fredstid

Fredstid utgör det ”normalläge” som den ordinarie lagstiftningen är utformad för. En del i Sveriges fredstida bekämpning av de mest kvalificerade cyberattackerna grundar sig i det svenska krisberedskapssystemet. Utformningen av ansvarsförhållandena inom samhällets krisberedskap återspeglar i hög grad utformningen och ansvarsförhållandena inom det normala samhällslivet med de konstitutionella och förvaltningsmässiga förhållandena som är specifika för Sverige. Den s.k.

ansvarsprincipen gäller vid kris i fredstid, vilket innebär att de lagar som i vanliga fall reglerar olika aktörers verksamheter är tillämpliga på samma sätt inom ramen för samhällets krisberedskap.⁹³ Vissa statliga myndigheter har dock utsetts till s.k.

bevakningsmyndigheter som innehar ett särskilt ansvar inom de utpekade områdena.

Dessa utpekade områden kallas för samverkansområden och fastställs i 7 § i förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Ett av dessa områden är teknisk infrastruktur. För detta område är bl.a. Säkerhetspolisen och Försvarsmakten bevakningsmyndigheter.

Krisberedskapen innebär med andra ord att Säkerhetspolisen och Försvarsmakten har ett extra ansvar i arbetet mot kriser i fredstid.

4.2 Säkerhetspolisens verksamhet i fredstid

4.2.1 Inledning

Säkerhetspolisen är sedan 2015 en fristående myndighet.⁹⁴ Det var i 11-septemberutredningen 2003⁹⁵ som förslaget om att Säkerhetspolisen skulle skiljas från Rikspolisstyrelsen presenterades, vilket sedan ledde till att Säkerhetspolisen ombildades till en fristående myndighet.⁹⁶ Innan omorganisationen bestod

93 Skr. 2009/10:124 s. 88.

94 Prop. 2013/14:110 s. 393.

95 SOU 2003:32.

96 SOU 2012:77 s. 102.

verksamheten av 21 polismyndigheter och Rikspolisstyrelsen som bestod av Rikskriminalpolisen och Säkerhetspolisen.⁹⁷ Sedan ombildningen har Sverige två polismyndigheter; Polismyndigheten och Säkerhetspolisen. En anledning till att Säkerhetspolisen omorganiserades till en självständig myndighet var för att tydliggöra ansvarsfördelningen mellan Säkerhetspolisen och den övriga Polismyndigheten.

Ombildningen av Säkerhetspolisen till en fristående myndighet syftade bl.a. till att skapa tydlighet i ansvarsförhållanden, beslutsmandat och regelverk.⁹⁸ I utredningen framhölls det dessutom att Säkerhetspolisens verksamhet redan innan omorganisationen hade en självständig karaktär.

4.2.2 Säkerhetspolisens brottsutredande verksamhet

Såväl Polismyndighetens som Säkerhetspolisens respektive verksamheter regleras huvudsakligen i Polislag (1984:387) (PL). Av 1 § st. 2 PL framgår att polisverksamheten består av Polismyndigheten och Säkerhetspolisen.

Myndigheternas respektive arbetsuppgifter regleras därefter i olika paragrafer.

2 § PL stadgar Polismyndighetens uppgifter;

”Till Polismyndighetens uppgifter hör att

1. förebygga, förhindra och upptäcka brottslig verksamhet och andra störningar av den allmänna ordningen eller säkerheten,

2. övervaka den allmänna ordningen och säkerheten och ingripa när störningar har inträffat,

3. utreda och beivra brott som hör under allmänt åtal,

4. lämna allmänheten skydd, upplysningar och annan hjälp, när sådant bistånd lämpligen kan ges av polisen,

5. fullgöra den verksamhet som ankommer på Polismyndigheten enligt särskilda bestämmelser. Lag (2014:588).”

97 SOU 2012:13 s. 17.

98SOU 2012:77 s. 112.

3 § PL stadgar Säkerhetspolisens uppgifter;

”Till Säkerhetspolisens uppgifter hör att

1. förebygga, förhindra och upptäcka brottslig verksamhet som innefattar brott mot rikets säkerhet eller terrorbrott,

2. utreda och beivra sådana brott som anges i 1 eller som följer av 5,

3. fullgöra uppgifter i samband med personskydd av den centrala statsledningen och andra som regeringen eller Säkerhetspolisen bestämmer,

4. fullgöra uppgifter enligt säkerhetsskyddslagen (2018:585),

5. leda annan polisverksamhet om regeringen föreskriver det och i övrigt bedriva sådan verksamhet som framgår av lag eller förordning eller som regeringen uppdragit åt Säkerhetspolisen att i särskilda hänseenden ansvara för.

När Säkerhetspolisen leder polisverksamhet enligt första stycket ska det som i lag eller annan författning föreskrivs om Polismyndigheten i tillämpliga delar gälla Säkerhetspolisen. Lag (2018:586).”

Regleringen av Polismyndighetens och Säkerhetspolisens respektive uppgifter visar att Polismyndighetens uppgifter är mer övergripande medan Säkerhetspolisens uppgifter har en tydlig särart. Huvudinriktningen för Polismyndighetens verksamhet är att minska brottsligheten och att öka människors trygghet.⁹⁹ Säkerhetspolisen är Sveriges nationella säkerhets- och underrättelsetjänst, varför Säkerhetspolisen huvudsakligen har det brottsutredande ansvaret för brott som hotar den nationella säkerheten.¹⁰⁰ Säkerhetspolisens verksamhet syftar primärt till att skydda Sveriges demokratiska system, medborgarnas fri- och rättigheter och den nationella säkerheten.¹⁰¹ Säkerhetspolisens verksamhet skiljer sig därmed från Polismyndighetens verksamhet i det avseende att Säkerhetspolisens verksamhet är betydligt mer begränsad.¹⁰² Säkerhetspolisens verksamhet är indelad i fem olika verksamhetsområden; kontraspionage, kontraterrorism, författningsskydd, säkerhetsskydd, och personskydd.¹⁰³

99 SOU 2012:77 s. 116.

100 Prop. 2009/10:85 s. 318.

101 SOU 2012:77 s. 116.

102Prop. 2013/14:110 s. 396.

103SOU 2012:77 s. 116.

Ramen för Säkerhetspolisens verksamhet stadgas i 3 § PL. Av 3 § p. 2 framgår att Säkerhetspolisen ska utreda brott som innefattar brott mot Sveriges säkerhet eller terrorbrott, samt i övrigt utreda sådan brottslighet som regeringen genom lag eller förordning uppdragit åt Säkerhetspolisen. I 3 § i förordning (2014:1103) med instruktion för Säkerhetspolisen (Säpo-förordningen) fastställs vilka brott Säkerhetspolisen har ett brottsutredande ansvar för.

3 § i Säpo-förordningen

1. brott mot 18 eller 19 kap. brottsbalken eller annat brott mot Sveriges säkerhet, i fråga om brott mot medborgerlig frihet dock endast om det finns särskilda skäl för det,

2. brott mot

a. lagen (2002:444) om straff för finansiering av särskilt allvarlig brottslighet i vissa fall,

b. lagen (2003:148) om straff för terroristbrott, och

c. lagen (2010:299) om straff för offentlig uppmaning, rekrytering och utbildning avseende terroristbrott och annan särskilt allvarlig brottslighet,

3. sådana brott mot 13 kap. brottsbalken som har syftat till att framkalla fara för Sveriges säkerhet eller att allvarligt hota eller skada centrala samhällsfunktioner,

4. företagsspioneri eller olovlig befattning med en företagshemlighet, om det finns anledning att anta att gärningen har begåtts på uppdrag av eller har understötts av en främmande makt eller av någon som har agerat för en främmande makts räkning,

5. brott där våld, hot eller tvång har använts för politiska syften, om brottet har riktat sig mot någon för vars personskydd Säkerhetspolisen ansvarar eller om gärningen har riktats mot ett särskilt viktigt samhällsintresse, och

6. brott som rör sanktionslagstiftning, krigsmateriel eller produkter med dubbla användningsområden, dock endast brott som har anknytning till verksamhet som Säkerhetspolisen har till uppgift att förebygga och förhindra.

Som ovan nämns är Säkerhetspolisen Sveriges nationella säkerhets- och underrättelsetjänst, och verksamheten berör huvudsakligen brott mot den nationella säkerheten.¹⁰⁴ Av regleringen i 3 § PL och 3 § i Säpo-förordningen framgår att

104 Prop. 2009/10:85 s. 318.

Säkerhetspolisen har det brottsutredande ansvaret för brott mot Sveriges säkerhet.

Som framgår av avsnitt 3.4.2 utgör cyberattacker mot samhällsviktiga IT-system brott mot Sveriges säkerhet. Det är följaktligen Säkerhetspolisen som har det brottsutredande ansvaret för brott mot sådana former av cyberattacker.

4.2.3 Säkerhetspolisens brottsförebyggande arbete

I egenskap av Sveriges nationella säkerhets- och underrättelsetjänst är kärnan i Säkerhetspolisens verksamhet att bekämpa allvarlig brottslighet som hotar Sveriges säkerhet. Säkerhetspolisens verksamhet karaktäriseras av att denna syftar till att identifiera och kartlägga brottslig verksamhet på ett tidigt stadium, inte sällan innan det finns konkreta brottsmisstankar.¹⁰⁵ En stor del av Säkerhetspolisens arbete utgörs därmed av den brottsförebyggande verksamheten.

Säkerhetspolisens säkerhetsskyddsarbete för samhällsviktiga informationssystem

En del i Säkerhetspolisens förebyggande arbete mot brott mot Sveriges säkerhet är att upprätta hot- och riskanalyser. Av 2 § förordning (2014:1103) med instruktion för Säkerhetspolisen följer att Säkerhetspolisen ska följa händelseutvecklingen i omvärlden och ha förmåga att ändra inriktningen i sin verksamhet. Hot- och riskanalyser upprättats inom Säkerhetspolisens verksamhetsområde säkerhetsskydd.

Som framgår av Försvarsberedningens slutrapporter om förslag om inriktning av totalförsvaret, utgör olika former av cyberhot de särskilt allvarliga säkerhetspolitiska hoten som riktas mot Sverige 2020.¹⁰⁶ Säkerhetspolisens arbete för att säkerställa en robust informations- och cybersäkerhet är därmed en del av Säkerhetspolisens skyddsarbete. Säkerhetsskyddslagen syftar till att skydda den information och de verksamheter som är av betydelse för Sveriges säkerhet mot spioneri, sabotage,

105SOU 2010:103 s. 87.

106 Ds 2017:66 s. 119.

terroristbrott och vissa andra hot.¹⁰⁷ Säkerhetspolisen har tillsynsansvar över majoriteten av verksamhetsutövarna, vilket framgår av 7 kap. 1 § p. 2 säkerhetsskyddsförordningen. En del i Säkerhetspolisens ansvar som tillsynsmyndighet är att upprätta säkerhetsanalyser för verksamhetsutövarna som de ska utgå ifrån i deras säkerhetsskyddsarbete.¹⁰⁸

I säkerhetsskyddslagens 2 kap. 7 § stadgas det att tillsynsmyndigheterna får meddela ytterligare föreskrifter om säkerhetsskyddsanalys och verksamhetsutövarnas rapporteringsskyldighet till tillsynsmyndigheten. Säkerhetspolisen har utfärdat en föreskrift om säkerhetsskydd (PMFS 2019:2). I föreskriftens 2 kap. 1 § tydliggörs hur verksamhetsutövaren ska identifiera och bedöma säkerhetskänslig verksamhet.

Verksamhetsutövaren bör ta ställning till tre punkter i sin säkerhetsanalys för att utreda vilka skyddsvärden som finns i verksamheten. Av 2 kap. 1 § i säkerhetspolisens föreskrift om säkerhetsskydd framgår att de tre olika typerna av skyddsvärden är:

- vilka säkerhetsskyddsklassificerade uppgifter och den totala mängden sådana uppgifter som finns i verksamheten,

- vilka för Sverige förpliktande internationella åtaganden om säkerhetsskydd som finns i verksamheten, och

- vilken säkerhetskänslig verksamhet i övrigt som finns i verksamheten.

Avseende den tredje punkten i 2 kap. 1 § i föreskriften tydliggörs denna i 2 kap. 2 §. I bedömningen av om verksamheten innehåller ”säkerhetskänslig verksamhet i övrigt”

ska verksamhetsutövaren utgå ifrån vilken typ av skada för Sveriges säkerhet en antagonistisk handling mot verksamheten skulle kunna medföra. I 2 kap. 2 § i Säkerhetspolisens föreskrift delas dessa typer av skador upp i fyra olika kategorier:

- Skada för Sveriges yttre säkerhet - Skada för Sveriges inre säkerhet

- Skada på nationellt samhällsviktig verksamhet - Skada för Sveriges ekonomi

107 Prop. 2017/18:89 s. 40.

108 Prop. 2017/18:89 s. 65.

4.3 Försvarsmaktens verksamhet i fredstid

4.3.1 Inledning

Försvarsmaktens verksamhet regleras huvudsakligen i förordning (2007:1266) med instruktion för Försvarsmakten. Av förordningens portalparagraf framgår att Försvarsmakten primärt ansvarar för att upprätthålla ett militärt försvar som kan möta ett väpnat angrepp. Det militära försvaret har till uppgift att värna Sveriges suveränitet och nationella intressen.¹⁰⁹ Av säkerhetspolitikens mål att värna Sverige säkerhet följer även att Försvarsmakten har till uppgift att förebygga situationer som, utan att de direkt hotar Sveriges säkerhet, ändå skulle kunna innebära en försämring av samhällets

In document Cyberattacker i gråzonen: Om Säkerhetspolisens och Försvarsmaktens brottsbekämpande ansvar för främmande staters cyberattacker mot samhällsviktiga IT-system (Page 33-75)