Säkerhetsskyddsanalys

I samband med en tillståndsansökan för ny kärnkraft ska en säkerhetsanalys skickas in till oss. Analysen ska besvara tre grundläggande frågor: Vad ska skyddas? Mot vad ska det skyddas? Hur ska det skyddas?

Alla bedömningar ska vara motiverade i säkerhetsanalysen, och det ska finnas en tydlig koppling mellan skyddsvärde, hot, sårbarheter och val av säkerhetsskyddsåtgärder.

Verksamhetsbeskrivning

Beskriv övergripande verksamheten och specificera vilka delar av verksamheten som är säkerhetskänsliga. Redovisa de resonemang som ligger bakom bedömningen för såväl den verksamhet som bedöms vara säkerhetskänslig som den som inte bedöms vara säkerhetskänslig.

Ange även på vilket sätt den identifierade verksamheten är av betydelse för Sveriges säkerhet. Använd följande konsekvenskategorier:

  • Sveriges yttre säkerhet
  • Sveriges inre säkerhet
  • Nationellt samhällsviktig verksamhet
  • Sveriges ekonomi
  • Skadegenererande verksamhet

Skyddsvärden

Identifiera och bedöm specifika skyddsvärden utifrån vilket eller vilka perspektiv dessa är skyddsvärda. Utgå från verksamhetsbeskrivningen och de delar av verksamheten som bedöms ha betydelse för Sveriges säkerhet.

Följande tre typer av skyddsvärden ska identifieras och bedömas:

  • säkerhetsskyddsklassificerade uppgifter, såväl enskilda som i aggregerad och ackumulerad form
  • anläggningar, objekt, system, egendom och andra tillgångar
  • verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

Säkerhetsskyddsklassificerade uppgifter ska löpande delas in en av fyra säkerhetsskyddsklasser, utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges säkerhet:

  1. kvalificerat hemlig (synnerligen allvarlig skada)
  2. hemlig (allvarlig skada)
  3. konfidentiell (inte obetydlig skada)
  4. begränsat hemlig (endast ringa skada).

Skyddsvärden som utgörs av anläggningar, objekt, system, egendom och andra tillgångar ska delas in i konsekvensnivåer. Det som är skyddsvärt behöver sedan brytas ned till en nivå där nödvändiga säkerhetsskyddsåtgärder kan identifieras.

Verksamhet som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd handlar om internationella avtal som Sverige har ingått med andra stater och mellanfolkliga organisationer som exempelvis EU och Nato.

Konfidentialitet, riktighet och tillgänglighet

Skyddsvärdena ska vidare bedömas utifrån vilket eller vilka perspektiv de är skyddsvärda. Bedömningen görs med fördel i samband med identifieringen av skyddsvärdena. De perspektiv som skyddsvärdena ska bedömas ur är

  • konfidentialitet – om det uppstår skada för Sveriges säkerhet till följd av att uppgifter obehörigen röjs,
  • riktighet – om det uppstår skada för Sveriges säkerhet till följd av att uppgifter obehörigen ändras,
  • tillgänglighet – om det uppstår skada för Sveriges säkerhet till följd av att uppgifter obehörigen görs otillgängliga eller förstörs.

Konsekvensnivåer

Skyddsvärdena ska även delas in i konsekvensnivå utifrån en bedömning av den skada för Sveriges säkerhet en antagonistisk handling mot skyddsvärdet kan medföra. Bedömningen ska ta hänsyn till utifrån vilket eller vilka perspektiv respektive skyddsvärde är skyddsvärt; konfidentialitet, riktighet eller tillgänglighet. Indelningen i konsekvensnivåer sker enligt följande:

  • Synnerlig allvarlig skada för Sveriges säkerhet (nivå A)
  • allvarlig skada för Sveriges säkerhet (nivå B)
  • Inte obetydlig skada för Sveriges säkerhet (nivå C)
  • Endast ringa skada för Sveriges säkerhet (nivå D)

Mot vad ska verksamheten skyddas?

Säkerhetshot uppstår då en antagonist har både avsikt och förmåga att genomföra antagonistiska handlingar riktade mot den säkerhetskänsliga verksamheten. Verksamhetsutövaren ska identifiera säkerhetshot kopplade till de identifierade skyddsvärdena och för den säkerhetskänsliga verksamheten i stort. För att identifiera säkerhetshot kan verksamhetsutövaren exempelvis använda sig av

  • egna incidenter
  • information från öppna källor
  • omvärldsbevakning eller genom samverkan med liknande verksamheter.

Exempel på säkerhetshot är cyberangrepp, spionage, stöld och sabotage. Säkerhetshot som inte är av relevans för de identifierade skyddsvärdena eller den säkerhetskänsliga verksamheten i stort ska inte redovisas i säkerhetsskyddsanalysen.

Säkerhetspolisen tillhandahåller beskrivningar av dimensionerande antagonistiska förmågor (DAF) till verksamhetsutövare, under förutsättning att Säkerhetspolisen inte bedömer det som olämpligt.

Med dimensionerande antagonistiska förmågor avses antagonistiska förmågor som vissa säkerhetsskyddsåtgärder ska dimensioneras utifrån, oavsett om de motsvaras av något identifierat säkerhetshot mot den säkerhetskänsliga verksamheten eller inte.

Dimensionerande antagonistiska förmågor enligt PMFS 2022:1 ska inte förväxlas med Dimensionerande hotbeskrivning (DHB) som syftar till att uppfylla krav om fysiskt skydd i enlighet med lagen (1984:3) om kärnteknisk verksamhet.

Verksamhetsutövaren ska beakta vilka säkerhetshot som finns mot de identifierade skyddsvärdena och den säkerhetskänsliga verksamheten i stort. Med säkerhetshot avses antagonistiska hot, det vill säga hot från en aktör med avsikt och förmåga att skada det som verksamhetsutövaren identifierat som skyddsvärt för den egna verksamheten och för Sveriges säkerhet.

Hur ska verksamheten skyddas?

Utifrån bedömningen av vilken verksamhet som ska skyddas och mot vad den behöver skyddas, ska verksamhetsutövaren bedöma vilka säkerhetsskyddsåtgärder som är nödvändiga att vidtas. Säkerhetsskyddsåtgärder kan delas in i tre områden,

  • personalsäkerhet,
  • fysisk säkerhet
  • informationssäkerhet.

Åtgärderna ska ha en koppling till de risker och sårbarheter som identifierats i säkerhetsskyddsanalysen, och omhänderta dessa.

Säkerhetsskyddsåtgärder inom informationssäkerhet ska förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. De ska också förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

Säkerhetsskyddsåtgärder inom fysisk säkerhet ska förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där de kan få tillgång till anläggningar, objekt, system, egendom eller andra tillgångar som är av betydelse för Sveriges säkerhet. Åtgärderna ska även förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses ovan.

Fysisk säkerhet i enlighet med säkerhetsskyddslagens betydelse ska ej förväxlas med begreppet fysiskt skydd i enlighet med annan lagstiftning.

Inom personalsäkerhet ska säkerhetsskyddsåtgärderna förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig. Åtgärderna ska vidare säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.

Säkerhetsskydd i bolagskoncern

Den som bedriver säkerhetskänslig verksamhet kallas i lagen för verksamhetsutövare och ska som sådan uppfylla kraven i säkerhetsskyddslagstiftningen. Det finns inga undantag eller särskilda bestämmelser för bolag som ingår i en koncern.

Varje bolag som är en egen juridisk person med eget organisationsnummer är en separat verksamhetsutövare, även om bolagen ingår i samma koncern. Detta innebär bland annat följande.

  • Samtliga bolag som bedriver säkerhetskänslig verksamhet och som ingår i en koncern ska anmäla det till tillsynsmyndigheten.
  • Varje ledning i ett bolag inom en koncern behöver utse en egen säkerhetsskyddschef.
  • För koncerninterna upphandlingar, avtal, samverkan och samarbeten som uppfyller kraven i 4 kap. 1 § säkerhetsskyddslagen ska säkerhetsskyddsavtal tecknas.
  • För överlåtelser av säkerhetskänslig verksamhet mellan bolag i en koncern gäller 4 kap. 13–20 §§ säkerhetsskyddslagen.