Tillsyn av säkerhetsskydd
Myndigheter, regioner, kommuner och andra verksamhetsutövare som har information och verksamhet av betydelse för Sveriges säkerhet ska skydda dessa med olika åtgärder. Länsstyrelsen vägleder och ser till att åtgärderna är genomförda.
Länsstyrelsen är tillsynsmyndighet för myndigheter, regioner, kommuner och enskilda verksamhetsutövare som bedriver säkerhetskänslig verksamhet.
En verksamhet är säkerhetskänslig om den till någon del är av betydelse för Sveriges säkerhet. Det kan också vara så att den omfattas av ett internationellt åtagande om säkerhetsskydd som Sverige ingått. Det är till exempel försvaret, det demokratiska statsskicket, rättsväsendet och samhällsviktig verksamhet som är av betydelse ur ett nationellt perspektiv.
Anmäl händelse som hotar säkerheten i din verksamhet
Om du får kännedom om en händelse som hotar säkerheten i er verksamhet ska du snarast anmäla detta till Säkerhetspolisen. Säkerhetspolisen underrättar sedan tillsynsmyndigheten.
Anmälan vid säkerhetshotande händelser eller verksamhet, Säkerhetspolisen Länk till annan webbplats.
Åtgärder för att skydda din verksamhet
Du som är verksamhetsutövare ska bland annat
- bedöma vilken del av din verksamhet som är säkerhetskänslig
- anmäla din säkerhetskänsliga verksamhet till Länsstyrelsen
- göra en säkerhetsskyddsanalys
- planera och genomföra säkerhetsskyddsåtgärder för din verksamhet
- anmäla om verksamheten planerar att ingå ett säkerhetsskyddsavtal – i vissa fall behövs samråd
- samråda med Länsstyrelsen om ni planerar att överlåta verksamheten.
Bedöm vilken del av din verksamhet som är säkerhetskänslig
Det finns ingen förteckning, tillståndsprövningsprocess eller liknande som tydligt pekar ut vem som bedriver säkerhetskänslig verksamhet. Som stöd i att bedöma om din verksamhet är säkerhetskänslig har Säkerhetspolisen tagit fram vägledningar.
Om säkerhetsskydd, Säkerhetspolisen Länk till annan webbplats.
Anmäl din säkerhetskänsliga verksamhet till Länsstyrelsen
Du som till någon del bedriver säkerhetskänslig verksamhet ska utan dröjsmål anmäla detta till din tillsynsmyndighet. Om Länsstyrelsen är tillsynsmyndighet för din verksamhet ska du göra din anmälan på avsedd blankett.
När den säkerhetskänsliga verksamheten upphört ska du utan dröjsmål även anmäla detta. Kontakta din tillsynsmyndighet för mer information.
Det är länsstyrelserna i Stockholm, Skåne, Västra Götaland och Norrbotten som ansvarar för tillsynen. De har var sitt geografiskt utpekat tillsynsområde.
Länsstyrelsen Stockholm har tillsyn över
- kommuner och regioner som hör till Stockholms, Uppsala, Södermanlands, Västmanlands, Värmlands, Gotlands, Örebro, Dalarnas eller Gävleborgs län
- statliga myndigheter, utom Säkerhetspolisen och Justitiekanslern, och enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsynsmyndighets tillsynsområde.
Länsstyrelsen Skåne har tillsyn över
- kommuner och regioner som hör till Kronobergs, Blekinge, Kalmar eller Skåne län
- statliga myndigheter och enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsynsmyndighets tillsynsområde.
Länsstyrelsen Västra Götaland har tillsyn över
- kommuner och regioner som hör till Hallands, Jönköpings, Västra Götalands eller Östergötlands län
- statliga myndigheter och enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsynsmyndighets tillsynsområde.
Länsstyrelsen Norrbotten har tillsyn över
- kommuner och regioner som hör till Västernorrlands, Jämtlands, Västerbottens eller Norrbottens län
- statliga myndigheter och enskilda verksamhetsutövare som har sitt säte i något av dessa län, om de inte hör till någon annan tillsynsmyndighets tillsynsområde.
- Elförsörjning och dammanläggningar (undantag kärnteknisk verksamhet).
Tillsynsmyndighet: Svenska kraftnät.
- Vägtrafik, sjöfart, spårbunden trafik, civil luftfart, flygtrafiktjänster för civil luftfart och flygtrafikledningstjänst för militär luftfart.
Tillsynsmyndighet: Transportstyrelsen.
- Elektronisk kommunikation och posttjänst.
Tillsynsmyndighet: Post- och telestyrelsen.
- Finansiella företag samt motsvarande utländska etablerade i Sverige.
Tillsynsmyndighet: Finansinspektionen.
- Fjärrvärme-, naturgas-, olje-, och drivmedelsförsörjning.
Tillsynsmyndighet: Statens energimyndighet.
- Kärnteknisk verksamhet.
Tillsynsmyndighet: Strålsäkerhetsmyndigheten.
Gör en säkerhetsskyddsanalys
Du som till någon del bedriver säkerhetskänslig verksamhet ska utreda behovet av säkerhetsskydd. Det gör du i en säkerhetsskyddsanalys. En säkerhetsskyddsanalys är en central del i ett systematiskt säkerhetsskyddsarbete. Analysen är en förutsättning för att kunna vidta effektiva säkerhetsskyddsåtgärder.
Ta del av Säkerhetspolisens vägledning för att genomföra en säkerhetsskyddsanalys.
Säkerhetsskyddsanalys, Säkerhetspolisen Länk till annan webbplats.
Planera och genomför åtgärder för säkerhetskänslig verksamhet
Om din verksamhet behöver säkerhetsskydd ska du utföra åtgärder inom informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Säkerhetspolisen har tagit fram vägledningar inom dessa områden som du kan använda som stöd:
Vägledning för informationssäkerhet, Säkerhetspolisen Länk till annan webbplats.
Vägledning för fysisk säkerhet, Säkerhetspolisen Länk till annan webbplats.
Vägledning för personalsäkerhet, Säkerhetspolisen Länk till annan webbplats.
Länsstyrelsen gör tillsyn av signalskyddstjänster
Om din verksamhet hanterar säkerhetsskyddsklassificerade uppgifter som ska kommuniceras till ett informationssystem utanför verksamhetens kontroll ska ni skydda uppgifterna med hjälp av kryptografiska funktioner. Dessa funktioner ska vara godkända av Försvarsmakten.
Har din verksamhet tilldelats ett signalskyddssystem så gör Länsstyrelsen i vissa fall tillsyn av systemet.
Kryptografiska funktioner, Försvarsmakten Länk till annan webbplats.
Placera anställningar i säkerhetsklass
En anställning eller något annat deltagande i säkerhetskänslig verksamhet ska i vissa fall placeras i säkerhetsklass. Om anställningen ska placeras i säkerhetsklass beror på
- i vilken utsträckning personen får del av säkerhetsskyddsklassificerade uppgifter, och/eller
- vilken skada för Sveriges säkerhet personen kan orsaka genom sin anställning eller sitt deltagande.
Länsstyrelsen beslutar om säkerhetsskyddsklass 2 och 3 inom vårt tillsynsområde.
Du som är verksamhetsutövare ska
- inventera vilka anställningar och annat deltagande i verksamheten som bör placeras i säkerhetsklass (utgå från verksamhetens säkerhetsskyddsanalys)
- vid behov kontakta ansvarig länsstyrelse som i vissa fall fattar beslut om dessa.
Anmäl till Länsstyrelsen om ni planerar säkerhetsskyddsavtal
Ni behöver i vissa fall skriva ett säkerhetsskyddsavtal om andra aktörer får tillgång till er säkerhetskänsliga verksamhet genom upphandling, avtal eller samverkan.
Om du som verksamhetsutövare planerar att ingå i ett säkerhetsskyddsavtal ska du
- utan dröjsmål anmäla detta till den aktör som beslutar om placering i säkerhetsklass och till tillsynsmyndigheten
- anmäla när avtal ingåtts
- anmäla när säkerhetsavtalet upphört.
Kontakta den länsstyrelse som är din tillsynsmyndighet för att anmäla om säkerhetsskyddsavtal.
Att skriva säkerhetsskyddsavtal
Genom att ingå ett säkerhetsskyddsavtal förbinder sig den andra aktören att uppfylla de krav på säkerhetsskyddsåtgärder som du bedömer är nödvändiga. Du som är verksamhetsutövare har fortfarande ansvar för den säkerhetskänsliga verksamheten och dess säkerhetsskydd.
Skicka blanketten "Underlag för säkerhetsskyddsavtal" till ansvarig länsstyrelse, med kopia till Säkerhetspolisen. Blanketter och mallar finns hos Säkerhetspolisen.
Blanketter och mallar, Säkerhetspolisen Länk till annan webbplats.
Du kan behöva samråda vid säkerhetsskyddsavtal
I vissa fall behövs samråd med din tillsynsmyndighet om att skriva säkerhetsskyddsavtal. Samråd krävs om den planerade hanteringen innebär att den andra aktören kan få tillgång till
- säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre,
- eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Kontakta den Länsstyrelse som är din tillsynsmyndighet för att anmäla samråd. Om du som är verksamhetsutövaren inte inleder ett samråd, trots att det finns krav på det, får Länsstyrelsen inleda samrådet.
Att genomföra samråd vid säkerhetsskyddsavtal
Utgångspunkterna för ett samråd är att
- samrådet ska genomföras innan hanteringen med krav på säkerhetsskyddsavtal inleds
- den andra aktören får inte ha tillgång till den säkerhetskänsliga verksamheten innan tillsynsmyndigheten har beslutat att avsluta samrådet
- det får inte finns krav på vidare åtgärder.
I vissa fall kan en hantering med säkerhetsskyddsavtal behöva inledas innan samrådet är avslutat, till exempel:
- om det inför en upphandling inte är känt vem den andra aktören i hanteringen kommer att bli eller
- om det inte går att identifiera i tillräcklig detalj hur och på vilket sätt aktören kommer exponeras för de skyddade uppgifterna när samrådet inleds.
Anmäl samråd vid överlåtelse av säkerhetskänslig verksamhet
När du ska överlåta din säkerhetskänsliga verksamhet eller viss egendom som är av betydelse för Sveriges säkerhet behöver du anmäla detta. Det gäller även verksamheten ingår i ett för Sverige förpliktande internationellt säkerhetsskyddsåtagande. Du behöver
- göra en särskild säkerhetsskyddsbedömning
- göra en lämplighetsprövning
- samråda med verksamhetens tillsynsmyndighet.
Du ska också samråda om du avser överlåta aktier eller andelar i säkerhetskänslig verksamhet. Det kan vara såväl aktieöverlåtelser som inkråmsöverlåtelser (innebär att man köper ett företags verksamhet och för över det till det egna bolaget). Det gäller oavsett verksamhetens konsekvensnivå eller uppgifternas säkerhetsskyddsklass.
Kontakta den länsstyrelse som är din tillsynsmyndighet för att anmäla om samråd. Om du som ska överlåta din verksamhet inte inleder ett samråd kan Länsstyrelsen inleda samrådet.
Om det finns brister i säkerhetsskyddet
Länsstyrelsen kan förelägga om åtgärder, besluta om vite och ta ut sanktionsavgift om du inte uppfyller dina skyldigheter som verksamhetsutövare. Hur mycket du får betala i sanktionsavgift beror på den skada eller sårbarhet för Sveriges säkerhet som uppstått till följd av överträdelsen. Det kan också bero på om överträdelsen har varit planerad eller berott på oaktsamhet.
Länsstyrelsens ansvar för tillsyn inom säkerhetsskydd
Länsstyrelsens tillsynsansvar gäller för
- kommuner och regioner
- enskilda verksamhetsutövare som bedriver säkerhetskänslig verksamhet och som inte står under tillsyn av andra tillsynsmyndigheter
- myndigheter som saknar utpekad tillsynsmyndighet och har sin placering inom länsstyrelsernas utpekade geografiska tillsynsområden.
Enskilda verksamhetsutövare som har verksamhet på flera ställen i landet ingår i det tillsynsområde där den juridiska personen har sin placeringsort.
Vår tillsyn består bland annat av att
- ge vägledning
- genomföra samråd vid vissa säkerhetsskyddsavtal och överlåtelser av säkerhetskänslig verksamhet
- besluta om placering av befattningar i säkerhetsklass 2 och 3 när det gäller anställning eller annat deltagande i verksamhet hos enskilda verksamhetsutövare som står under Länsstyrelsens tillsyn
- besluta om förelägganden, sanktionsavgifter och i vissa fall förbud efter tillsyn.
Vanliga frågor och svar
En verksamhet är säkerhetskänslig om den till någon del är av betydelse för Sveriges säkerhet. Den kan också vara säkerhetskänslig om den omfattas av ett internationellt åtagande om säkerhetsskydd som Sverige ingått. Försvaret, det demokratiska statsskicket, rättsväsendet och samhällsviktig verksamhet är exempel på det som är av betydelse ur ett nationellt perspektiv.
Säkerhetsskydd handlar bland annat om att myndigheter, regioner, kommuner och andra verksamhetsutövare som har information och verksamhet av betydelse för Sveriges säkerhet ska skydda dessa mot spioneri, sabotage, terroristbrott och vissa andra hot med olika åtgärder.
Den som till någon del bedriver säkerhetskänslig verksamhet kallas i säkerhetsskyddslagen för verksamhetsutövare. Med verksamhetsutövare avses en egen juridisk person med eget organisationsnummer, oavsett om den juridiska personen ingår i en koncern. Detta innebär att varje verksamhetsutövare i en koncern ansvarar för sin säkerhetskänsliga verksamhet och de skyldigheter som följer av säkerhetsskyddsregelverket. Det är verksamhetsutövarens ansvar att identifiera om verksamheten är säkerhetskänslig eller inte.
Den som beslutar om placering i säkerhetsklass är regeringen och den som regeringen bemyndigat. Det är alltid regeringen som beslutar om säkerhetsklass 1. När det gäller placering i säkerhetsklass 2 och 3 har regeringen med stöd av bemyndigandet bestämt att kommuner, regioner och ett antal myndigheter själva kan besluta om placering i säkerhetsklass. Det framgår av bilagan till säkerhetsskyddsförordningen. Länsstyrelsen beslutar om säkerhetsskyddsklass 2 och 3 för enskilda verksamhetsutövare som myndigheten har tillsyn över.
Kontakt
Kontakta Länsstyrelsen i Stockholm för att anmäla er säkerhetskänsliga verksamhet eller om ni har frågor om tillsynen av säkerhetsskydd.
Adress
Länsstyrelsen Stockholm
Box 22067
104 22 Stockholm
E-post: stockholm@lansstyrelsen.se