Svenska Kraftnät VÄGLEDNING. Säkerhetsanalys

(1)

Säkerhetsanalys

Kraftnät

VÄ GLEDNING

(2)

Innehållsförteckning

Förord ... 3

1. Varför är säkerhetsanalys nödvändig? ... 4

2. Rikets säkerhet och skyddet mot terrorism ... 6

3. Skyddsvärda uppgifter ... 9

4. Skyddsvärda anläggningar ...11

5. Genomförande av säkerhetsanalys ...12

Bilagor: Bilaga 1 Skyddsvärda uppgifter med hänsyn till rikets säkerhet* 1A Stamnät (220-400 kV) ...14

1B Regionnät (30-130 kV) ...17

1C Lokalnät (lägre än 30 kV) ...20

1D Vattenkraft ...21

1E Värmekraft ...23

1F Kärnkraft ...26

1G Driftcentraler ...28

1H Försäljning ...30

Bilaga 2 Disposition för upprättande av säkerhetsanalys* ...31

Bilaga 3 Riskanalys ...33

*Utskrivbara blankettmallar ﬁnns på den medföljande CD-skivan.

Omslagsbild:

Akkats kraftverk, Jokkmokk.

Foto: Hans Blomberg.

(3)

Förord

En väl fungerande elförsörjning är en nödvändig förutsättning för samhällets verksamhet både i fred och vid höjd beredskap. Detta innebär bl.a. att elförsörjningen måste ha ett väl fungerade skydd mot tänkbar brottslig verksamhet.

Ett viktigt instrument för att kunna bedöma vilka åtgärder som krävs för att skydda elförsörjningen bl.a. mot brott mot rikets säkerhet och mot terrorism är en väl utförd säkerhetsanalys. Krav på att säkerhetsanalyser genomförs ﬁnns i bl.a. säkerhetsskydds- lagstiftningen.

Denna vägledning har tagits fram för att ge ledning vid genomförande av säkerhets- analyser. Framtagandet av vägledningen har skett i samverkan med bl.a. representanter för elbranschen. Vägledningen skall kunna vara behjälplig vid bedömningen av vilka uppgifter i verksamheten som skall hållas hemliga med hänsyn till rikets säkerhet och vilka anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism.

En naturlig del av företagens i elbranschen affärsverksamhet får anses vara att identi- ﬁera risker, värdera dessa risker och vid behov vidta åtgärder för att minimera riskerna.

Underlag för en säkerhetsanalys kan därför med fördel inhämtas från företagets övriga riskanalysarbete. Det är också viktigt att analysera inträffade händelser som en del i säkerhetsanalysen. Vägledningen ger även exempel på olika riskanalysmetoder.

Det är vår förhoppning att denna vägledning skall utgöra ett bra stöd för att praktiskt genomföra de nödvändiga säkerhetsanalyserna.

Svenska Kraftnäts Vägledning säkerhetsanalys som utgavs år 1998 ersätts av denna väg- ledning.

Stockholm 30 juni 2005

Bertil Persson Chefsjurist

(4)

1. Varför är säkerhetsanalys nödvändig?

Krav på säkerhetsanalys

Enligt säkerhetsskyddsförordningen skall bl.a. företagen inom elförsörjningen genomföra en säkerhetsanalys. Analysen skall klarlägga vilka uppgifter i verksamheten som skall hållas hemliga med hänsyn till rikets säkerhet och vilka anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism. Resultatet av säkerhetsanalysen skall dokumenteras.

Enligt Svenska Kraftnäts föreskrifter (SvKFS 2005:1) om säkerhetsskydd skall en säker- hetsanalys genomföras vid behov, dock minst vartannat år.

En närmare beskrivning över hur en säkerhetsanalys kan genomföras beskrivs i kapitel 5.

Skyddsvärda uppgifter framgår av kapitel 3 och skyddsvärda anläggningar behandlas i kapitel 4.

Företagets nytta av säkerhetsanalys

Säkerhetsanalys kan utgöra en viktig del av företagets dialog med myndigheter och samverkande företag. Säkerhetsanalysen ger också ett värdefullt underlag för att vidta avvägda skyddsåtgärder.

Underlag för säkerhetsanalysen kan bl. a. inhämtas från företagets riskanalysarbete.

Vägledningen ger i bilaga 3 ”Riskanalys” exempel på olika riskanalysmetoder.

Åtgärder efter genomförd säkerhetsanalys

Säkerhetsskyddsförordningens 5 § ställer endast krav på att en säkerhetsanalys genom- förs och dokumenteras. Naturligtvis bör företaget efter genomförd analys upprätta en handlings- och åtgärdsplan samt vidta åtgärder för att öka säkerhetsskyddet i enlighet med analysresultatet och kraven i säkerhetsskyddslagen (1996:627).

(5)

Lagar, föreskrifter och vägledningar

Förutom de krav som ställs i säkerhetsskyddslagen och säkerhetsskyddsförordningen ﬁnns det även bestämmelser som relaterar till säkerhetsskydd i bl.a.:

• Rikspolisstyrelsens föreskrifter (RPSFS 2004:11) och allmänna råd om säkerhetsskydd

• Svenska Kraftnäts föreskrifter (SvKFS 2005:1) om säkerhetsskydd

• Lagen (1990:217) om skydd för samhällsviktiga anläggningar m.m.

(skyddslagen)

• Sekretesslagen (1980:100) (främst 2 kap. 2 § och 5 kap. 2 §)

• Lagen (1993:1742) om skydd för landskapsinformation

• Lagen (1990:409) om skydd för företagshemligheter

• Elberedskapslagen (1997:288)

• Förordningen (2002:472) om åtgärder för fredstida krishantering och höjd beredskap (Krisberedskapsförordningen)

• Personuppgiftslagen (1998:204)

Svenska Kraftnät har givit ut en vägledning för säkerhetsprövning samt i samråd med energibranschen givit ut en vägledning för fysiskt grundskydd och handboken Skydd och säkerhet vid energiföretag.

Ovanstående lagar och förordningar återﬁnns på www.rixslex.se

Föreskrifter, vägledningar och handbok ﬁnns att hämta/beställa på Svenska Kraftnäts hemsida www.svk.se

(6)

2. Rikets säkerhet och skyddet mot terrorism

Bakgrund

I ett antal lagar och förordningar ﬁnns bestämmelser om att myndigheter och viktiga funktioner i samhället skall ha ett skydd mot bl.a. spionage och sabotage. Under senare tid har skyddet mot terrorism betonats. I bl.a. förarbetena till säkerhetsskyddslagen utpe- kas energiförsörjningen, telekommunikationer och vattenförsörjning som särskilt viktiga samhällsfunktioner.

Rikets säkerhet utgör ett sammanfattande begrepp för den verksamhet och de funktioner i samhället som har särskilt skyddsvärde och därför är i behov av ett tillräckligt anpassat skydd.

Informationssäkerhet, d.v.s. skydd av information av sårbara och viktiga funktioner är en mycket viktig del av detta skydd.

Elförsörjningen, som är en mycket viktig del av landets infrastruktur, skall ha ett skydd med hänsyn till rikets säkerhet ytterst för att elförsörjningen skall vara säker.

Begreppet rikets säkerhet

Rikets säkerhet har traditionellt indelats i hot mot rikets inre eller yttre säkerhet. Under senare tid har gränserna mellan begreppen suddats ut. Det är svårt att bedöma vad ett angrepp på viktiga funktioner i landet har för syfte. Vi har därför i denna vägledning valt att endast använda begreppet rikets säkerhet.

(7)

Exempel på olika brott mot rikets säkerhet

Spionage är ett brott mot rikets säkerhet. Under år 2003 dömdes t.ex. ett antal personer för spioneribrott. De hade lämnat ut information om Ericssons mobiltelefonsystem till annat land.

I utlämnat material kan ﬁnnas information om hur systemen fungerar, vilka brister som de har och hur man kan manipulera telesystemen. Den typen av information kan kombineras med andra antagonistiska åtgärder.

Svenska Kraftnäts ledningar i Jämtland utsattes år 1998 för sabotage. Två parallella ledningar sprängdes. Den avsedda effekten uteblev dock eftersom ingen ledning rasade. Enligt den dåva- rande lagstiftningen rubricerades handlingen som brott mot rikets säkerhet delvis beroende på att det samtidigt framställdes skriftliga hot med politiska krav. Handlingar vars syfte var att påverka politiska eller ekonomiska beslut var med tidigare lagstiftning att anse som terrorism.

Terrorism

Det finns internationella nätverk och grupper som har förmåga att utföra terroristattentat i Sverige. En del av dessa organisationer står under uppsikt av Säkerhetspolisen (Säpo). Det finns troligen också sådana grupper som inte står under uppsikt av Säpo. Regeringen har dock i olika sammanhang uppgivit att det troligen inte finns någon risk för att dessa grupper kommer att utföra terroristangrepp i Sverige.

Hotbilden för terroristangrepp kan dock snabbt ändras. Sveriges deltagande i olika oros- härdar i världen kan medföra att hotbilden för terroristhandlingar ändras. Planering av skydd för elförsörjningens anläggningar och styrsystem måste genomföras med hänsyn till dagens hotbild men också ha en möjlighet att möta framtida förändringar av hotbilden.

(8)

Terroristlagstiftning

Under de senaste 20 åren har ett stort antal terroristangrepp genomförts i hela världen.

Begreppet terrorism ﬁnns därför sedan 1980-talet i den svenska lagstiftningen. Säkerhets- skyddslagen från 1996 påtalar t.ex. att verksamheten skall ha ett skydd mot terrorism.

Särskild terroristlagstiftning aktualiserades av attacken den 11 september 2001 mot Pentagon och World Trade Center i New York. Nationellt och internationellt arbete med terroristbekämpning har sedan dess högprioriterats. Inom EU startade omgående efter attentaten ett arbete för att bl.a. försöka likrikta begrepp och lagstiftning inom unionen.

Sverige har förbundit sig att delta i bekämpningen av den internationella terrorismen.

Riksdagen godkände år 2002 ett rambeslut för bekämpande av terrorismen.

Som en följd av detta rambeslut antog riksdagen år 2003 en lag (2003:148) om straff för terroristbrott. Bland de brott som enligt lagen kan utgöra terroristbrott är bl.a. sabotage och grovt sabotage. Även hot att begå sådana brott bedöms som ett terroristbrott.

Terroristbrott

För att en gärning skall klassas som terroristbrott krävs att gärningen allvarligt kan skada en stat eller en mellanstatlig organisation och avsikten med gärningen är att:

• injaga allvarlig fruktan hos en befolkning eller en befolkningsgrupp

• otillbörligen tvinga offentliga organ eller en mellanstatlig organisation att vidta eller att avstå från att vidta en åtgärd, eller

• allvarligt destabilisera eller förstöra grundläggande politiska, konstitutionella, ekonomiska eller sociala strukturer i en stat eller i en mellanstatlig organisation

Slutsatser

Det är viktigt att:

• hotbilden bedöms på ett likartat sätt för elförsörjningens anläggningar oavsett ägarbild

• skyddsnivåer anpassas till anläggningens betydelse

• det ﬁnns en samsyn rörande skyddsvärda uppgifter inom elsystemet mellan företag och myndigheter

• elbranschen får en mera ensartad syn på vilka delar som skall ha ett skydd och hur skydden skall utformas

(9)

3. Skyddsvärda uppgifter

De uppgifter som på olika sätt kan skada enskilda och viktiga allmänna intressen måste hanteras med omsorg och restriktivitet. Uppgifter som behöver hållas hemliga med hänsyn till rikets säkerhet är särskilt skyddsvärda.

Med skyddsvärda uppgifter avses t.ex.

– särskilt viktiga delar och anläggningar i elsystemet – driftfunktioner och datastödssystem

– information om anläggningars svaga punkter

– anläggningars kapacitet, funktion och roll i elsystemet – skyddsåtgärder som vidtagits

– exakta lägesangivningar

Publicering av uppgifter som blir tillgängliga via Internet är särskilt känslig eftersom moderna sökmetoder möjliggör snabb och omfattande inhämtning av information.

En sammanställning som enbart består av öppna uppgifter kan normalt inte klassas som hemlig. Om uppgifterna sammanställts på ett sådant sätt att ny information framkommer kan dock sammanställningen bli hemlig. Om öppna uppgifter sammanställs med hemliga uppgifter kan hela sammanställningen bli hemlig och t.o.m. kvaliﬁcerat hemlig.

Motsvarande gäller för lagen (1990:409) om skydd för företagshemligheter.

(10)

Uppgifter som bedöms skyddsvärda behandlas på samma sätt även om verksamheten outsourceas eller om underentreprenörer anlitas.

Notera att de uppgifter som inte bedöms vara skyddsvärda med hänsyn till rikets säker- het kan vara skyddsvärda för företagets verksamhet. Dessa uppgifter behandlas normalt i företagens riskanalyser, se Bilaga 3 ”Riskanalys”.

Det är viktigt att företag vid kontakt med myndigheter uppmärksammar dessa på att skyddsvärda uppgifter (enligt säkerhetsanalysen) som företaget skickar in till myndig- heten kan vara känsliga ur sekretessynpunkt. Myndigheterna görs på så sätt obser- vanta på att uppgifterna kan omfattas av sekretess enligt bestämmelser i sekretesslagen (1980:100), kapitel 2 § 2 och att en sekretessprövning enligt nämnda lag måste göras.

I bilagorna 1A – 1H ﬁnns checklistor med exempel över skyddsvärda uppgifter för nätanläggningar, produktionsanläggningar, driftcentraler och för försäljning av el.

Följ den eller de checklistor som gäller för egen verksamhet, för att få vägledning att avgöra vilken verksamhet som kan ha betydelse för rikets säkerhet.

(11)

4. Skyddsvärda anläggningar

Skyddsvärda anläggningar, med hänsyn till rikets säkerhet och skyddet mot terrorism, är i huvudsak anläggningar som har nationell eller regional betydelse.

Detta är anläggningar som i enlighet med branschrekommendationer inom elför- sörjningen klassats i betydelseklass B3 eller B4*. Det är anläggningsägaren som klassar och fastställer betydelseklass för sina anläggningar.

Även anläggningar som klassats i betydelseklass B1 och B2* kan vara skyddsvärda om de har betydelse för matning av el till mycket samhällsviktiga kunder. I vissa fall har sådana kunder framfört motsvarande skyddskrav eller krav på sekretesshantering i avtal.

Elförsörjningens betydelseklassning

Inom elförsörjningen används nedanstående mall för betydelseklassning av anläggningar.

Mallen kan också, efter modiﬁering, användas vid företagets egna prioriteringar av andra energianläggningar.

Klass Betydelse

B1 Endast lokal betydelse

B2 Regional eller stor lokal betydelse B3 Nationell eller stor regional betydelse B4 Avgörande nationell betydelse

* Betydelseklassningen och skyddsobjektshanteringen återﬁnns i Svenska Kraftnäts och Svensk Energis gemensamma ”Vägledning grundskydd” och i säkerhetshandboken ”Skydd och säkerhet vid energiföretag”.

Anläggningar inom elförsörjningen är i många fall klassade som skyddsobjekt. Bestäm- melser om klassning som skyddsobjekt återﬁnns i lag (1990:217) om skydd för samhälls- viktiga anläggningar m.m.

(12)

5. Genomförande av säkerhetsanalys

Detta kapitel beskriver hur företagen kan gå tillväga, när de skall göra sin säkerhetsanalys.

Ansvar för genomförandet

VD i respektive företag är ansvarig för att en säkerhetsanalys genomförs. För att nå bästa möjliga resultat är det väsentligt att alla verksamhetsdelar i företaget är delaktiga i analysarbetet.

Genomförande

Delar av underlaget för säkerhetsanalysen kan inhämtas även från företagens riskanalysarbete.

Personal som aktivt deltar i analysarbetet bör vara säkerhetsklassad (se SvKFS 2005:1) och ha undertecknat en sekretessförbindelse eller motsvarande. Resultatet av analysen bör klassas som företagshemligt eller kvaliﬁcerat företagshemligt och hanteras därefter.

Skyddsvärda uppgifter (se även kapitel 3 )

Analysen av skyddsvärda uppgifter skall ge svar på frågan:

– Vilka uppgifter i företagets verksamhet skall hållas hemliga med hänsyn till rikets säkerhet?

Ett sätt att få svar på ovanstående fråga är att använda Bilaga 1 A-H ”Checklista skyddsvärda uppgifter med hänsyn till rikets säkerhet”. Välj ut lämplig/a checklista/or för företagets verksamhet och analysera om de nämnda skyddsvärda uppgifterna (enligt checklistan) är aktuella för ert företag. Dokumentera de skyddsvärda uppgifter som ﬁnns för ert företag. Detta kan med fördel göras direkt i checklistans högerkolumn (egna kommentarer).

Observera att det även kan ﬁnnas andra skyddsvärda uppgifter som skall hållas hemliga med hänsyn till rikets säkerhet än de som nämns i checklistan. Dessa skall givetvis också dokumenteras.

Om det under analysen inte har framkommit några uppgifter som skall hållas hemliga med hänsyn till rikets säkerhet, så skall även detta dokumenteras.

Skyddsvärda anläggningar (se även kapitel 4 )

Analysen av skyddsvärda anläggningar skall ge svar på frågan:

– Vilka anläggningar kräver ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism?

Ett sätt att få svar på ovanstående fråga är att, utifrån kapitel 4 ”Skyddsvärda anlägg- ningar”, analysera om företaget har anläggningar motsvarande denna beskrivning.

Dokumentera vilka av företagets anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet och skyddet mot terrorism.

(13)

Skyddsvärd anläggning?

Skyddsvärda uppgifter?

Om det under analysen inte har framkommit några anläggningar som kräver ett säker- hetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism, skall även detta dokumenteras.

Resultat av genomförd säkerhetsanalys

Resultatet av analysen skall dokumenteras vilket kan ske enligt mall som redovisas i Bilaga 2 ”Disposition för upprättande av säkerhetsanalys”.

Fastställande av Säkerhetsanalysen

Säkerhetsanalysen fastställs och undertecknas av VD.

Revidering

Enligt Svenska Kraftnäts föreskrifter (SvKFS 2005:1) om säkerhetsskydd, skall en säkerhetsanalys genomföras vid behov, dock minst vartannat år.

(14)

Bilaga 1 A STAMNÄT (220-400 kV) inklusive utlandsförbindelser

SKYDDSVÄRDA UPPGIFTER med hänsyn till rikets säkerhet

Denna bilaga är en sammanställning över skyddsvärda uppgifter uppdelade per verksam- hetskategori. Bilagan kan användas som ett verktyg för att analysera om företaget har några skyddsvärda uppgifter med hänsyn till rikets säkerhet.

SKYDDSVÄRD UPPGIFT KOMMENTAR/EXEMPEL EGNA KOMMENTARER BILAGA 1 A STAMNÄT SID 1 (3)

Skydds- och beredskapsåtgär- der som vidtagits för samhällets säkerhet och beredskap.

Bevaknings- och insatsplaner.

Skyddsobjekt.

Anläggningarnas fysiska skydd.

Radio/telekommunikation.

Åtgärder för att bygga bort sårbarheter eller en beskrivning av sårbarheter.

Om denna information blir offentlig kan syftet med åtgärderna motverkas.

Uppgifter om bevakning och tillsyn av anläggningar.

Insatsplaner för brand, rädd- ningstjänst och katastrof.

Om denna information blir offentlig kan syftet med bevakningen motverkas.

Betydelseklassning, beslut och myndighetsdialoger.

Uppgifter om anläggningars (främst skyddsobjekt) skal-, områdes- och tillträdesskydd.

Om denna information blir offentlig kan syftet med skyddsåtgärderna motverkas.

Se även kapitel 5

Skyddsvärda anläggningar Sårbarhet i telekommunikationer, t.ex. brist på redundans, reservkraft som kan påverka IS/IT-funktioner.

(15)

BILAGA 1 A STAMNÄT SID 2 (3)

SKYDDSVÄRD UPPGIFT KOMMENTAR/EXEMPEL EGNA KOMMENTARER

Driftsystem – IS/IT (Driftstödssystem).

Stamnätskartor

(Tekniska sammanställningar).

Sammanställning av betydelseklassade anläggningar.

Optoﬁbernätkartor med viktiga knutpunkter.

Brandväggar, fysiskt skydd, redundans och separation från andra IT-system.

Se även bilaga 1 G Driftcentraler.

Känslig information som anger knutpunkter m.m.

Kartor med koordinater med en större noggrannhet än på 100 m när för anläggningar.

Kartor kompletterade med information om underliggande nät.

Digitala kartor är särskilt viktiga.

Se även lagen (1993:1742) om skydd för landskapsinformation.

Information om viktiga anläggningar i landet.

Även sammanställningar av betydelseklassade anlägg- ningar på region- och lokal nivå kan vara skyddsvärda.

Sammanställningar över ﬂera betydelseklassade anlägg- ningar kan vara kvaliﬁcerat hemliga.

Se även Kapitel 5

Skyddsvärda anläggningar.

Information som anger knutpunkter eller större delar av nätet.

Även uppgifter om telestationer och teknikbodar på underliggande nät är skyddsvärda.

(16)

BILAGA 1 A STAMNÄT SID 3 (3)

Sambands/telenätkartor.

Risk- sårbarhetsanalyser.

Kraftsystemssimuleringar.

Personaluppgifter.

Annat?

Information som anger knutpunkter eller större delar av nätet. Känslig information som anger knutpunkter m.m.

Uppgifter om telestationer och teknikbodar på underliggande nät är även skyddsvärda.

Analyser som visar på brister eller risker i nät och anlägg- ningar samt avbrotts- och störningsanalyser.

Resultat av simuleringar som visar på brister och svagheter.

Simuleringar kan vara kvali- ﬁcerat hemliga.

Uppgifter om nyckelpersoner, säkerhetsklassad personal.

(17)

Bilaga 1 B REGIONNÄT (30-130 kV)

SKYDDSVÄRDA UPPGIFTER med hänsyn till rikets säkerhet

SKYDDSVÄRD UPPGIFT KOMMENTAR/EXEMPEL EGNA KOMMENTARER BILAGA 1B REGIONNÄT SID 1 (3)

Skyddsobjekt.

Uppgifter om bevakning och tillsyn av anläggningar.

Om denna information blir offentlig kan syftet med bevakningen motverkas.

Uppgifter om anläggningars (främst skyddsobjekts) skal-, områdes- och tillträdesskydd.

Se även Kapitel 5

Sårbarhet i telekommunikationer, t.ex. redundans, reservkraft som kan påverka IS/IT- funktioner.

(18)

BILAGA 1B REGIONNÄT SID 2 (3)

Driftsystem – IS/IT (Driftstödssystem).

Driftledningsplatsers olika bety- delser och funktion i systemet.

Regionnätskartor

(Tekniska sammanställningar).

Optoﬁbernätkartor med viktiga knutpunkter.

Sambands-/telenätkartor.

Se även Bilaga 1 G Driftcentraler.

Se Bilaga 1 G Driftcentraler.

Kartor med information om underliggande nät.

Digitala kartor är särskilt skyddsvärda.

Se även lagen (1993:1742) om skydd för landskapsinformation.

Se även kapitel 5

Uppgifter om telestationer är särskilt skyddsvärda.

Uppgifter om telestationer på underliggande nät är särskilt skyddsvärda.

(19)

SKYDDSVÄRD UPPGIFT KOMMENTAR/EXEMPEL EGNA KOMMENTARER BILAGA 1B REGIONNÄT SID 3 (3)

Uppgifter om anläggningar.

Uppgifter om viktiga kunder ur samhällssynpunkt.

Konsekvensbeskrivning av avbrott.

Kraftsystemssimuleringar.

Personaluppgifter.

Annat?

Analyser som visar på brister eller risker i nät och anlägg- ningar samt avbrotts- och störningsanalyser.

Uppgifter om viktiga mat- ningspunkter, reparations- och reservutrustning samt förlägg- ningsmetoder, infrastruktur och redundans (luft, tunnlar, mark).

Känslig information som kan användas för att söka sårbara länkar/punkter i nätet i syfte att störa ut elförsörjningen i region/län.

Särskild försiktighet bör iakt- tas vid publicering på hemsidor och i broschyrer.

Påverkan på region/rikets säkerhet.

Sårbarhetsanalyser, specialrapporter om störningar osv.

Resultat av simuleringar som visar på brister och svagheter.

Resultat av simuleringar kan vara kvaliﬁcerat hemliga.

(20)

Bilaga 1 C LOKALNÄT (lägre än 30 kV)

SKYDDSVÄRDA UPPGIFTER med hänsyn till rikets säkerhet

Denna bilaga är en sammanställning över skyddsvärda uppgifter uppdelad per verksam- hetskategori. Bilagan kan användas som ett verktyg för att analysera om företaget har några skyddsvärda uppgifter med hänsyn till rikets säkerhet.

SKYDDSVÄRD UPPGIFT KOMMENTAR/EXEMPEL EGNA KOMMENTARER BILAGA 1C LOKALNÄT SID 1 (1)

Uppgifter om viktiga kunder för samhällets säkerhet och beredskap.

Uppgifter om viktiga kunder ur samhällssynpunkt.

Konsekvensbeskrivning av avbrott.

Dokumentation.

Annat?

Uppgifter som framkommer vid kundkontakter och vid besök av anläggningar.

Gäller även vid beredskaps- planeringen för länsstyrelser och kommuner.

Även uppgifter som framkommer vid risk- och sårbar- hetsanalyser kan ha betydelse för rikets säkerhet.

Se även Kapitel 5

Skyddsvärda anläggningar Analyser som visar på brister eller risker i nät och anlägg- ningar samt avbrotts- och störningsanalyser.

Påverkan på region/rikets säkerhet.

Sårbarhetsanalyser, specialrapporter om störningar osv.

Sammanställning av ﬂera olika infrastruktursystem för län eller kommun.

(21)

Bilaga 1 D VATTENKRAFT inklusive elförsörjningens dammanläggningar

SKYDDSVÄRDA UPPGIFTER med hänsyn till rikets säkerhet

Denna bilaga är en sammanställning över skyddsvärda uppgifter uppdelad per verksam- hetskategori. Bilagan kan användas som ett verktyg för att analysera om företaget har några skyddsvärda uppgifter med hänsyn till rikets säkerhet.

SKYDDSVÄRD UPPGIFT KOMMENTAR/EXEMPEL EGNA KOMMENTARER BILAGA 1D VATTENKRAFT SID 1 (2)

Skyddsobjekt.

Åtgärder som vidtagits för att skapa ﬂexibilitet och uthållighet under störda förhållanden.

Om denna information blir offentlig kan syftet med åtgär- derna motverkas.

Uppgift om bevakning och tillsyn av anläggningar. Insats- planer för brand, räddnings- tjänst och katastrofer.

Se även Kapitel 5

Skyddsvärda anläggningar Uppgifter om vilka anlägg- ningar som ingår i upprättade eller planerade Ö-driftsplaner samt vilka anläggningar som är utrustade för dödnätstart.

Även planer för störd drift kan vara skyddsvärda, t.ex.

uppgifter om reservmateriel.

(22)

Bilaga 1 D VATTENKRAFT inklusive elförsörjningens dammanläggningar

SKYDDSVÄRD UPPGIFT KOMMENTAR/EXEMPEL EGNA KOMMENTARER BILAGA 1D VATTENKRAFT SID 2 (2)

Driftsystem – IS/IT (driftstödssystem).

Konsekvensbeskrivning av störningar och haverier.

Risk- och sårbarhetsanalyser m.m.

Ritningar.

Kartor.

Personaluppgifter.

Annat?

Sårbarhet i telekommunikationer t.ex. redundans, reservkraft som kan påverka IS/IT- funktioner.

Haveri- och specialrapporter.

Analyser som visar på allvar- liga brister eller risker i drift och konstruktioner. Avser produktionsanläggningar och dammar.

Exakta ritningar över anlägg- ningar, konstruktioner osv.

Digitala ritningar (speciellt 3D- ritningar) är särskilt viktiga.

Se även Kapitel 5

Digitala kartor är särskilt viktiga.

Anläggningens placering och betydelse i elsystemet.

Särskilt viktigt vid publicering på hemsidor och broschyrer.

(23)

Bilaga 1 E VÄRMEKRAFT

SKYDDSVÄRDA UPPGIFTER med hänsyn till rikets säkerhet

SKYDDSVÄRD UPPGIFT KOMMENTAR/EXEMPEL EGNA KOMMENTARER BILAGA 1E VÄRMEKRAFT SID 1 (3)

Skyddsobjekt.

Hamnanläggningar.

Uppgift om bevakning och tillsyn av anläggningar. Insatspla- ner för brand, räddningstjänst och katastrofer.

Om denna information blir offentlig kan syftet med bevakningen motverkas.

Se även Kapitel 5

Internationella krav (ISPS) på vissa hamnar kan medföra extra krav på fysiska skydds- åtgärder och sekretess.

(24)

Åtgärder som vidtagits för att skapa ﬂexibilitet och uthållighet under störda förhållanden.

Konsekvensbeskrivning av störningar och haverier.

Ritningar.

Kartor.

Uppgifter om vilka anlägg- ningar som ingår i upprättade eller planerade Ö-driftsplaner samt vilka anläggningar som är utrustade för dödnätsstart.

Även planer för störd drift kan vara skyddsvärt, t.ex. uppgifter om bränslelager och reservmateriel.

Sårbarhet i telekommunikationer t.ex. redundans, reservkraft som kan påverka IS/IT- funktioner.

Haveri- och specialrapporter.

Analyser som visar på allvar- liga brister eller risker i drift och konstruktioner. Avser främst produktionsanlägg- ningar.

Exakta ritningar över anlägg- ningar, konstruktioner osv.

Digitala ritningar (speciellt 3D- ritningar) är särskilt viktiga.

Se även Kapitel 5

Digitala kartor är särskilt skyddsvärda.

(25)

Personaluppgifter.

Annat?

Anläggningens placering och betydelse i elsystemet.

Särskilt viktigt vid publicering på hemsidor och broschyrer.

(26)

Bilaga 1F KÄRNKRAFT

SKYDDSVÄRDA UPPGIFTER med hänsyn till rikets säkerhet

SKYDDSVÄRD UPPGIFT KOMMENTAR/EXEMPEL EGNA KOMMENTARER BILAGA 1F KÄRNKRAFT SID 1 (2)

Bevakningsplaner och bevakningsteknik.

Skyddsobjekt.

Hamnanläggningar vid kärntekniska anläggningar.

Uppgift om bevakning och tillsyn av anläggningar. Insats- planer för brand, räddnings- tjänst och katastrofer.

Uppgifter om kärntekniska anläggningar (enligt deﬁnition i SKIFS 2005:1) och ställ- verkens skal-, områdes- och tillträdesskydd.

ISPS internationella krav på vissa hamnar kan medföra extra krav på fysiska skydds- åtgärder och sekretess.

(27)

Bilaga 1 F KÄRNKRAFT

SKYDDSVÄRD UPPGIFT KOMMENTAR/EXEMPEL EGNA KOMMENTARER BILAGA 1 F KÄRNKRAFT SID 2 (2)

Infrastruktur i form av kulvert- system eller markförläggning av el-, signal-, vatten-, kylvatten- och avloppsanläggningar etc.

Möjligheter till försörjning via reservkraft vid bortfall av yttre nät.

Planer för drift vid höjd beredskap.

Planer för transport av kärn- bränsle nytt såväl som använt samt kärnämne.

Reaktorsäkerhetsanalyser.

Personaluppgifter.

Annat?

Det som kan hindra förutsätt- ningar för fortsatt drift eller skada tredje man.

Kan också utgöra del av SKIs krav.

Kärnkraftsäkerhetskrav.

Särskilda krav för dödnätsstart av kärnkraft

Personal, skydd, HV förband etc.

Risken för stöld för att till- verka smutsiga bomber etc.

Analyser som visar på allvar- liga brister eller risker i drift m.m.

Görs efter krav från SKI.

Ev. identiﬁerade svagheter i konstruktion eller drift.

Sårbarhet i tele-kommunika- tioner t.ex. redundans, reservkraft som kan påverka IS/IT- funktioner.

(28)

Bilaga 1 G DRIFTCENTRALER

(Avser alla typer av driftövervakningsplatser för el/tele inom elförsörjningen)

SKYDDSVÄRDA UPPGIFTER med hänsyn till rikets säkerhet

SKYDDSVÄRD UPPGIFT KOMMENTAR/EXEMPEL EGNA KOMMENTARER BILAGA 1 G DRIFTCENTRALER SID 1 (2)

Driftsystem (driftstödssytem) IS/IT (el/tele).

Dokumentation.

Redundans.

Rutiner, instruktioner, nät – kartor utvisande ﬂera skyddsvärda anläggningar, beredskapsplaner.

Se även Kapitel 5

Skyddsvärda anläggningar Uppgifter om reservrutiner vid störd drift kan vara skydds- värda.

Sårbarhet i telekommunikationer t.ex. brist på redundans, reservkraft som kan påverka drift- och IS/IT-funktioner.

Uppgifter om anläggningars skal-, områdes- och tillträdes- skydd.

Se även Kapitel 5

Skyddsvärda anläggningar

(29)

Bilaga 1 G DRIFTCENTRALER Sid 2 (2)

(Avser alla typer av driftövervakningsplatser för el/tele inom elförsörjningen)

SKYDDSVÄRD UPPGIFT KOMMENTAR/EXEMPEL EGNA KOMMENTARER BILAGA 1 G DRIFTCENTRALER SID 2 (2)

Personaluppgifter.

Annat?

(30)

Bilaga 1H FÖRSÄLJNING

SKYDDSVÄRDA UPPGIFTER med hänsyn till rikets säkerhet

SKYDDSVÄRD UPPGIFT KOMMENTAR/EXEMPEL EGNA KOMMENTARER BILAGA 1H FÖRSÄLJNING SID 1 (1)

Uppgifter om viktiga kunder för samhällets säkerhet.

Annat?

Kan framgå av länsstyrelsens beredskapsplanering.

T.ex. viktiga försvarsanlägg- ningar, tele/radio m.m.

Uppgifter som framkommer vid kontakter och vid besök av anläggningar.

(31)

Disposition för upprättande av säkerhetsanalys

1. Inledning

Här görs en översiktlig beskrivning av företagets verksamhet och de delar som omfattas av säkerhetsanalysen utifrån den tolkning som företaget gjort av säkerhetsskyddslagen eller avgränsningar som gjorts av andra orsaker.

Företaget bör även redovisa vilka som deltagit i framtagningen av analysen.

2. Säkerhetsskyddslagen

Här anges de krav i säkerhetsskyddslagen som föranleder att en säkerhetsanalys har genomförts.

3. Skyddsvärda uppgifter

Analysen av skyddsvärda uppgifter skall ge svar på frågan:

– Vilka uppgifter i företagets verksamhet skall hållas hemliga med hänsyn till rikets säkerhet?

I Bilaga 1A-H ”Checklista Skyddsvärda uppgifter” redovisas exempel över skyddsvärda uppgifter. Dessa kan användas som en del i analysarbetet. Resultatet från analysen av skyddsvärda uppgifter dokumenteras samlat under denna rubrik. Se kapitel 3 för ytterligare vägledning. Om inga skyddsvärda uppgifter har identiﬁerats så skall även detta dokumenteras.

4. Skyddsvärda anläggningar

Analysen av skyddsvärda anläggningar skall ge svar på frågan:

– Vilka anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism?

Vid genomförande av säkerhetsanalys ingår en inventering av skyddsvärda anläggningar i verksamheten. Den skall omfatta både företagets egna anläggningar och de av företa- get kända samhällsviktiga kundanläggningar som omfattas av säkerhetsskyddslagen och resultatet redovisas här. Se kapitel 4 för ytterligare vägledning. Finns inga skyddsvärda anläggningar redovisas även detta.

BILAGA 2 SID 1 (2)

(32)

5. Sekretessbedömning

Eventuellt behöver en sekretessbedömning göras med anledning av resultatet från säker- hetsanalysen.

6. Resultat av genomförd säkerhetsanalys

Företagets sammanfattande bedömning av resultatet från säkerhetsanalysen beskrivs här.

Företaget bör även beakta att eventuella brister som framkommit under analysarbetet ska dokumenteras och åtgärdas i en handlingsplan (eller motsvarande).

Om analysen påvisar att verksamheten inte omfattas av säkerhetsskyddslagen så skall även detta dokumenteras.

BILAGA 2 SID 2 (2)

(33)

Riskanalys

Observera att säkerhetsskyddslagen och säkerhetsskyddsförordningen inte ställer några krav på riskanalys. Motsvarande kravs ställs dock i Förordning (2002:472) om åtgärder för fredstida krishantering och höjd beredskap.

Det kan vara en fördel att säkerhetsanalysen genomförs i anslutning till riskanalysarbetet vid företaget. Därför följer nedan en kortfattad beskrivning över riskanalys.

Allmänt

För att kunna skydda företaget och företagets resurser utför de ﬂesta före- tag ett aktivt riskanalysarbete.

I riskanalysen ingår att identifiera och värdera hot/risker i företagets verksamhet. Identifieringen talar om vilka hot/risker det finns i före- tagets verksamhet och värderingen talar om hur stora och frek- venta de är.

En närmare beskrivning av hur en riskanalys kan genomföras redovisas i Industriförbundets bok ”Företagens skydd och säkerhet, 1999” och i Gustaf Hamiltons bok ”Risk Management 2000”.

Uppföljning

Förutom att analysera risker är det även viktigt att analysera varför/hur en händelse inträffat, så att inte onödigt kostsamma (eller felaktiga) åtgärder vidtas. Kontinuerlig uppföljning av inträffade händelser såväl inom som utanför företaget ökar möjligheten att vidta rätt åtgärder.

Svenska Kraftnät har infört ett incidentrapporteringssystem för rapportering av inträf- fade händelser inom elförsörjningen. En sammanställning över incidenterna sänds varje halvår ut till de företag som bidrar med rapporter. Av sekretesskäl anges inte vilket före- tag som rapporterat in en händelse, utan av rapporten framgår endast i vilken region den har inträffat.

Analysmetoder

Det finns flera olika modeller för att genomföra riskanalyser och det finns många kon- sultföretag som har specialistkompetenser på detta område.

I Gustaf Hamiltons bok ”Risk Management 2000” redovisas ett antal över- gripande riskanalysmodeller, bl.a.:

• Endagsanalysen (grovanalys)

• Jonsson-modellen (sannolikhet/konsekvens)

• What-if metoden (analys av de konsekvenser en avvikelse skulle innebära)

Det viktigaste är att välja den metod som bäst passar företagets behov.

(34)

(35)

Friskt och sunt arbete i vintrig ödemark.

Bilden visar arbetare som bygger kraftledning till en GSM-mast mellan Karesuando och Soppero.

Foto: Hans Blomberg.

(36)

Svenska Kraftnät Box 526, 162 15 Vällingby