Säkerhetsskydd handlar om att skydda säkerhetskänslig verksamhet mot antagonistiska hot som spioneri, sabotage, terroristbrott, kriminalitet och subversion. Säkerhetskänslig verksamhet är verksamhet som är av betydelse för Sveriges säkerhet ur ett nationellt perspektiv eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.
Säkerhetsskydd handlar också om att skydda säkerhetsskyddsklassificerade uppgifter, alltså uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400), eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.
Den som bedriver säkerhetskänslig verksamhet är en verksamhetsutövare och omfattas av säkerhetsskyddslagens bestämmelser. Som verksamhetsutövare behöver behovet av säkerhetsskydd utredas. Detta genomförs genom en säkerhetsskyddsanalys där första steget är en verksamhetsbeskrivning. I säkerhetsskyddsanalysen identifieras och prioriteras skyddsvärden och därefter avgörs vilken typ av säkerhetsskyddsåtgärder som behövs för den säkerhetskänsliga verksamheten. Säkerhetsskyddsåtgärder omfattar åtgärder inom personalsäkerhet, informationssäkerhet och fysisk säkerhet.
En verksamhetsutövare som avser exponera den säkerhetskänsliga verksamheten till en annan aktör, genom ett säkerhetsskyddsavtal omfattas också av säkerhetsskyddslagens bestämmelser. Vid exponering av säkerhetskänslig verksamhet är verksamhetsutövaren även fortsättningsvis ansvarig för den säkerhetskänsliga verksamheten, även om den bedrivs hos en annan aktör.
En verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska kontrollera säkerhetsskyddet i den egna verksamheten och vidta de åtgärder som krävs enligt säkerhetsskyddslagstiftningen. Verksamhetsutövaren ska också kontrollera att en eventuell motpart som verksamhetsutövaren ingått säkerhetsskyddsavtal med följer säkerhetsskyddsavtalet (2018:528 2 kap. 1 § och 4 kap. 5 §).
tillsyn
Ett flertal myndigheter, organisationer, samt delar av näringslivet har viktiga roller i, eller bidrar till försvaret av Sverige. Detta innebär att Försvarsmaktens skyddsvärden finns både inom den egna organisationen men också inom andra offentliga och privata verksamheter.
Försvarsmakten är tillsynsmyndighet enligt säkerhetsskyddsförordningen (2021:955) vilket innebär att Försvarsmakten ska utöva tillsyn över att de myndigheter som ingår i Försvarsmaktens tillsynsområde följer säkerhetsskyddslagstiftningens bestämmelser. Tillsyn får även utövas hos de aktörer som en verksamhetsutövare inom Försvarsmaktens tillsynsområde har ingått säkerhetsskyddsavtal med.
I Försvarsmakten bedrivs tillsynsverksamheten av säkerhetsskyddet av Must.
Den som står under tillsyn ska på begäran ge tillsynsmyndigheten den information som behövs för tillsynen, samt tillträde till de områden, lokaler och andra utrymmen som används i den verksamheten som omfattas av tillsynen.
I Försvarsmaktens tillsynsområde ingår Fortifikationsverket, Försvarshögskolan och de myndigheter som hör till Försvarsdepartementet.
Myndigheter som ingår i Försvarsmaktens tillsynsområde:
- Fortifikationsverket
- Försvarshögskolan
- Försvarets radioanstalt
- Försvarets materielverk
- Plikt- och prövningsverket
- Totalförsvarets forskningsinstitut
- Försvarsunderrättelsedomstolen
- Kustbevakningen
- Myndigheten för samhällsskydd och beredskap
- Myndigheten för psykologiskt försvar
- Statens haverikommission
- Myndigheten för totalförsvarsanalys
- Statens inspektion för försvarsunderrättelseverksamheten
Samordning inom tillsyn
Försvarsmakten och Säkerhetspolisen är samordningsmyndigheter för tillsyn enligt säkerhetsskyddsförordningen (2021:955). Uppdraget innebär att Försvarsmakten och Säkerhetspolisen i samverkan ska följa upp, utvärdera och utveckla arbetet med tillsyn och samråd. I uppdraget ingår även att ta fram metodstöd för tillsyn och samråd, förmedla relevant hotinformation till tillsynsmyndigheterna och att leda ett samarbetsforum där tillsynsmyndigheterna ingår.
I Försvarsmakten bedrivs samordningsuppdraget av Must.
I Sverige finns det 13 tillsynsmyndigheter som har ansvarar för sina respektive tillsynsområden.
13 tillsynsmyndigheter
- Försvarsmakten
- Säkerhetspolisen
- Affärsverket Svenska kraftnät
- Transportstyrelsen
- Post- och telestyrelsen
- Försvarets materielverk
- Finansinspektionen
- Statens energimyndighet
- Strålsäkerhetsmyndigheten
- Länsstyrelsen i Stockholms län
- Länsstyrelsen i Skåne län
- Länsstyrelsen i Västra Götalands län
- Länsstyrelsen i Norrbottens län
Mötesplats säkerhetsskydd
Must och Säkerhetspolisen genomför tillsammans med Försvarshögskolan en mötesplats för säkerhetsskydd två gånger per år. Denna genomförs vid Försvarshögskolan, Stockholm och har olika teman inom säkerhetsskyddsområdet.
Anmälan vid säkerhetshotande händelse eller verksamhet
En verksamhetsutövare som tillhör Försvarsmaktens tillsynsområde ska i enlighet med 2 kap. 4 § säkerhetsskyddsförordningen skyndsamt göra en anmälan till Försvarsmakten och Säkerhetspolisen om:
- Det finns skäl att anta att en säkerhetsskyddsklassificerad uppgift otillåtet har röjts,
- Det har inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller
- Verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamheten.
Även upptäckt av incident eller sårbarhet eller brist i säkerhetsskyddet ska anmälas av verksamhetsutövaren till Försvarsmakten.
Informera och samråda
En verksamhetsutövare som tillhandahåller tjänster åt en annan verksamhetsutövare ska i samband med anmälan informera och vid behov samråda med de uppdragsgivare som berörs av incidenten.
Metod för anmälan
Anmälan till Försvarsmakten ska genomföras enligt Försvarsmaktens rutin. Se dokument på sidan.
Anmälan till Säkerhetspolisen ska genomföras enligt Säkerhetspolisens rutin som återfinns på sakerhetspolisen.se