4.1 Säkerhetsskydd enligt säkerhetsskyddslagen

Säkerhetsskyddslagen är till för att skydda Sveriges säkerhet. Uttrycket tar sikte på sådant som är av grundläggande betydelse för Sverige och till detta räknas bland annat det militära och civila försvaret, domstolarna och kritisk infrastruktur som vatten och avlopp, leveranser av livsmedel och annat som är nödvändigt för samhällets funktionalitet på nationell nivå. Säkerhetsskyddet ska skydda den säkerhetskänsliga verksamheten och säkerhetsskyddsklassificerade uppgifter mot antagonistiska aktörer och handlingar.

Säkerhetsskyddsanalysen ska svara på de frågor som beskrivs i illustrationen nedan och i följande text.

Vad ska skyddas? 

Bedriver verksamheten säkerhetskänslig verksamhet av betydelse för Sveriges säkerhet? Vilka delar av verksamheten är skyddsvärd? 

Vilka verksamheter inom VA-sektorn i Sverige som är att anse vara i behov av säkerhetsskydd är svårt att svara på. Omständigheterna varierar stort i landet. Verksamheter ska ju för att omfattas, bedömas ha betydelse för Sveriges säkerhet ur ett nationellt perspektiv och sannolikt är det en liten andel aktörer inom VA-sektorn som berörs. Skyddsvärda verksamheter kan dock finnas på regional eller till och med på lokal nivå.

En lokal störning av dricksvattenförsörjningen kan påverka ett stort antal människor i en region, vilket i förlängningen kan få nationella följdverkningar. 
Det kan också tänkas att ett angrepp riktas mot funktioner i andra verksamheter med direkt betydelse för Sveriges säkerhet. Exempel på detta kan vara VA-försörjning av en försvarsanläggning, ett stort sjukhus och viktiga privata verksamheter. Denna analys bör dock respektive verksamhet själva göra och ställa krav på VA-verksamheten.

Det krävs dialog och samverkan i olika sammanhang med länsstyrelse, kommun, näringslivsråd, krisråd, säkerhetsråd etc. för detta. Angrepp på samhällsviktiga funktioner som resulterar i störningar kan leda till att det sprids en oro och misstro mot myndigheternas förmåga att hantera situationen. Även potentiella följdverkningar av en händelse måste vägas in i bedömningen i rimlig omfattning. 

Det är inte sannolikt att hela verksamheten omfattas av säkerhetsskydd. Att tänka på i sammanhanget är att de säkerhetsåtgärder som en säkerhetsskyddad verksamhet behöver vidta innebär att den blir svårare och mer omständligt att hantera, eftersom den typen av information och verksamhet ska vara svåråtkomlig och endast får hanteras på kontrollerade sätt.  Det är många krav som ställs på hur säkerhetsskyddsklassificerad information ska hanteras. Detta gör att det kan bli svårt att arbeta med informationen. 

Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför även omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig. I de diskussioner som förs i analysen ska en klassificering göras av olika typer av information.

Indelningen görs enligt följande (se även avsnitt 4.5.3 under 4.5):

1. Kvalificerat hemlig  Ett röjande kan medföra en synnerligen allvarlig skada.
2. Hemlig  Ett röjande kan medföra en allvarlig skada.
3. Konfidentiell  Ett röjande kan medföra en inte obetydlig skada.
4. Begränsat hemlig  Ett röjande kan medföra endast ringa skada.

Instruktion kring detta finns i Säkerhetspolisens vägledningar. Inventeringen kan vara till stor nytta i annat säkerhetsarbete inom organisationen. Under diskussionerna kommer man troligtvis diskutera information som inte omfattas av säkerhetsskydd. Den information som inte faller under säkerhetsskydd kan ändå bedömas vara känslig och behöva hanteras enligt särskilda rutiner. En analys av informationen bör göras brett i verksamheterna där personer med kunskap om verksamheten behöver komma med sin bedömning och inspel i diskussioner.

Det är svårt att jämföra olika verksamheters känsliga uppgifter mot varandra. Därmed kan samma typ av uppgifter i två organisationer klassas helt olika och det kan vara helt korrekt. Organisationers olika uppbyggnad innebär att samma typ av uppgift har olika funktion i verksamheterna och därav är olika känslig i verksamheterna.

Mot vad ska det skyddas?

Vilka antagonistiska hot och sårbarheter finns kopplade till den skyddsvärda verksamheten? I analysen kan man sätta sig in i en antagonists position och fråga sig var i den egna verksamheten man hade kunnat göra som mest skada och vad följderna blir av ett sabotage i verksamheten.

I säkerhetsskyddsanalysen identifieras och bedöms skyddsvärden utifrån ett konsekvensperspektiv. Hur många personer skulle drabbas vid ett sabotage? Försörjer en anläggning en försvarsinrättning med vatten? Om anläggningen skulle bli obrukbar, finns det alternativa försörjningsvägar? Hur snabbt skulle det gå att hitta sådana alternativa vägar? Vad har verksamheten för geografisk placering exempelvis ur försvarsperspektiv?

Konsekvenser kan och bör värderas med hjälp av följande frågeställningar:

• Påverkas ett större antal människors liv och hälsa?
• Påverkas ett större geografiskt område? Är påverkan långvarig, inträffar den vid en olämplig tidpunkt?
• Får händelsen allvarliga sociala, ekonomiska och/eller politiska konsekvenser för samhället?
• Påverkas andra samhällsviktiga verksamheter allvarligt?
• Finns det risk att allvarliga negativa konsekvenser uppstår i framtiden?
• Hur ska det skyddas? 

När säkerhetsskyddsanalysen är fastställd ska verksamhetsutövaren tydliggöra i en säkerhetsskyddsplan vilka säkerhetsskyddsåtgärder som behöver vidtas. Arbetet leds av säkerhetsskyddschefen. Säkerhetsskyddsåtgärderna delas in i tre områden, informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Det handlar om ett helhetsgrepp som förhindrar att obehöriga får tillgång till känsliga byggnader och objekt, att personalen ska vara pålitlig och att man arbetar på ett systematiskt och säkert sätt med hantering av information. Mer att läsa finns i kapitlen om informationssäkerhet, personalsäkerhet och fysisk säkerhet.

En väl genomarbetad och strukturerad säkerhetsskyddsanalys skapar inte bara underlag för säkerhetshöjande åtgärder utan även för rutiner, instruktioner och processer inom säkerhetsområdet. Den kan visa på strategiska delar som att man ska ha egen personal för vissa funktioner, minskat beroende av externa leverantörer mm.

Om man genomför säkerhetsskyddsanalysen grundligt första gången och får till en bra verksamhetsanpassad struktur blir det sedan lättare för varje gång man genomför den. Genom att arbeta enligt Säkerhetspolisens vägledningar kan man komma en bra bit på vägen.  Figuren ovan visar flödet för arbetet med säkerhetsskyddsanalys. Se även aktörsexempel på hur workshops kan användas för att utföra analysen, bilaga 1.

I en verksamhet som omfattas av säkerhetsskyddslagen ska det alltid finnas en säkerhetsskyddschef, om det inte är uppenbart obehövligt. Säkerhetsskyddschefen ska vara direkt underställd chefen för verksamheten. Säkerhetsskyddschefen ska leda och samordna säkerhetsskyddsarbetet och även kontrollera att verksamheten bedrivs enligt lagen och föreskrifter. Detta ansvar kan inte delegeras. 

Generellt för VA-verksamhet gäller följande. För kommuner är kommundirektören att anse som chef för verksamheten och säkerhetsskyddschefen i kommunen ska därför vara underställd denne. VA-verksamhet som bedrivs i förvaltningsform är ju en del av kommunen och är således underställd kommunens säkerhetsskyddschef. Ett kommunalförbund är speciellt och ses som en egen kommun genom sin direktion.

Om VA bedrivs i bolagsform finns en VD, det vill säga en chef, och man har därför också en egen säkerhetsskyddschef. För kommunalägda bolag ska dessutom kommunens säkerhetsskyddschef bedriva tillsyn på bolaget.

Verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen om man tror att en säkerhetsskyddsklassificerad uppgift otillåtet har röjts, om det inträffat en IT-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller om verksamhetsutövaren får reda på eller misstänker någon annan allvarlig säkerhetshotande verksamhet.