Säkerhetskyddsanalys

Med säkerhetsskydd avses skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. 

Universitetsdirektören har beslutat att en säkerhetsskyddsanalys ska genomföras under 2023 på grund av kraven på oss som myndighet att bedöma behovet av åtgärder kopplat till säkerhetsskyddslagen. 

Säkerhetsskyddsanalysen genomförs av funktionerna för dataskydd, IT-säkerhet, fysisk säkerhet och informationssäkerhet. Syftet är att fastställa om någon del av verksamheten inom KI bedöms vara säkerhetskänslig med avseende på Sveriges säkerhet, och vad som i så fall behöver göras.

Vem ska göra en säkerhetsskyddsanalys?  

Myndigheter och privata aktörer som bedriver säkerhetskänslig verksamhet utifrån säkerhetsskyddslagen ska utreda behovet av åtgärder och dokumentera det i en säkerhetsskyddsanalys. Säkerhetsskyddsanalysen är viktig för ett strukturerat och systematiskt säkerhetsskyddsarbete och är en förutsättning för att kunna vidta nödvändiga åtgärder. Säkerhetsskyddsanalysen ska ge svar på: 

  • Vad som ska skyddas? 
  • Mot vad, varför behövs skyddet? 
  • Hur ska det skyddas? 

Antagonistiska hot som spioneri, sabotage och terroristbrott samt andra brott som kan hota verksamheten och skada Sveriges säkerhet ska beaktas i säkerhetsskyddsanalysen. 

För KI är det i nuläget inte tydligt om säkerhetskänslig verksamhet bedrivs eller om säkerhetsskyddsklassificerade uppgifter hanteras. Därför används metoden för säkerhetsskyddsanalys i syfte att bedöma om så är fallet. Om KI kommer fram till att ingen säkerhetskänslig verksamhet bedrivs och att inga säkerhetsskyddsklassificerade uppgifter hanteras så ska slutsatserna dokumenteras men det ordinarie säkerhetsarbetet fortsätter som vanligt.  

Säkerhetskänslig verksamhet 

Utifrån säkerhetsskyddslagen är säkerhetskänslig verksamhet sådan som är av betydelse för Sveriges säkerhet enligt följande kategorier: 

  • Sveriges yttre säkerhet - Sveriges förmåga att upprätthålla nationellt försvar (territoriell suveränitet) samt upprätthållande av Sveriges integritet, oberoende och handlingsfrihet (politisk självständighet). 
    Exempel: Försvarsmakten och andra verksamheter i det civila försvaret och försvarsindustrin. 
     
  • Sveriges inre säkerhet - Sveriges förmåga att upprätthålla och säkerställa grundläggande strukturer, inklusive det demokratiska statsskicket, rättsväsendet och den brottsbekämpande förmågan på nationell nivå. 
    Exempel: Säpo, polis med fler 
     
  • Nationellt samhällsviktig verksamhet - Verksamheter som definieras som nationellt samhällsviktiga ur ett säkerhetsskyddsperspektiv återfinns bland annat inom områdena energiförsörjning, elektroniska kommunikationer, finansiella tjänster (centrala betalningssystem), livsmedelsförsörjning, vattenförsörjning och transporter. 
    Exempel: anläggningar, system och funktioner i transmissionsnätet för det nationella elsystemet. Teleoperatörer med fler. Obs! nationellt samhällsviktig verksamhet är inte att likställa med samhällsviktig verksamhet 
     
  • Verksamhet av betydelse för Sveriges ekonomi - Tjänster, leveranser, funktioner eller förmågor som är nödvändiga för den nationella betalningsförmågan. Vidare avses förmågan att hantera, administrera, granska, styra och stödja den nationella finansiella stabiliteten. 
    Exempel: centrala betalsystem 
     
  • Verksamhet som kan generera skada på annan säkerhetskänslig verksamhet – En skadegenererande verksamhet är en verksamhet som vid en antagonistisk handling kan generera skada på andra säkerhetskänsliga verksamheter genom påverkan på liv, hälsa eller infrastruktur. Påverkan på liv och hälsa kan uttryckas i att många människor förväntas att dö eller skadas, och påverkan på infrastruktur avser fysisk förstöring av annan säkerhetskänslig verksamhet. 
    Exempel: kärnteknisk verksamhet, kemiska industrier, centrala laboratorier för hälso- och sjukvården. 

För att besvara frågan om KI bedriver säkerhetskänsligverksamhet behöver vi identifiera om det bedrivs någon verksamhet (tjänster, leveranser, funktioner eller förmågor) i syfte att verka inom någon av kategorierna ovan. 

Säkerhetsskyddsklassificerade uppgifter 

Säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.

Exempel: 

  • 15 kap. 1 – 1b §§ om utrikessekretess
  • 15 kap. 2 § om försvarssekretess  
  • 18 kap. 1 § om förundersökningar m.m.  
  • 18 kap. 2 § om underrättelseverksamhet  
  • 18 kap. 8 § om säkerhets- eller bevakningsåtgärd  
  • 18 kap. 13 § om risk- och sårbarhetsanalyser m.m. 

För att besvara frågan om KI hanterar säkerhetsskyddsklassificerade uppgifter behöver vi identifiera om dessa behandlas lagras eller transporteras någonstans inom KI:s verksamhet. Det skulle till exempel kunna vara ett projekt som hanterar information om säkerhetskänslig verksamhet som bedrivs av en annan organisation eller extern part. I säkerhetsskyddsanalysen identifieras och bedöms hur allvarliga konsekvenserna av eventuella skador kan bli.  

Nedan ges en överblick över hur graden av konsekvens ska bedömas och inom vilken kategori konsekvenserna bedöms uppstå. Konsekvenserna bedöms med kriterierna ”ej mätbar/ej relevant, ringa skada, ej obetydlig skada, allvarlig skada och synnerligen allvarlig skada” i nivå 5-1. Kategorierna är ”Sveriges yttre säkerhet, Sveriges inre säkerhet, nationellt samhällsviktig verksamhet, Sveriges ekonomi och skadegenererande verksamhet”.  En matris över detta återfinns i bilagan till Säkerhetspolisens föreskrifter (PMFS 2019:2) om säkerhetsskydd. 

Nivå 5 Synnerlig allvarlig skada för Sveriges säkerhet 

Synnerligen allvarlig skada på system- eller sektorsnivå. Kritiska tjänster, leveranser, funktioner eller förmågor är utslagna eller mycket allvarligt påverkade. Sverige skulle komma att förlora sin suveränitet, handlingsfrihet eller oberoende. Synnerligen allvarlig påverkan på andra säkerhetskänsliga verksamheter. Långsiktiga konsekvenser och mycket svårt att återgå till ett normalläge. 

Nivå 4 Allvarlig skada för Sveriges säkerhet

Allvarlig skada på system- eller sektorsnivå. Kritiska tjänster, leveranser, funktioner eller förmågor skulle allvarligt komma att påverkas. Allvarliga begränsningar i Sveriges suveränitet, handlingsfrihet eller oberoende. Allvarlig påverkan på andra säkerhetskänsliga verksamheter. Svårt att återgå till ett normalläge. 

Nivå 3 Inte obetydlig skada för Sveriges säkerhet

Påtaglig påverkan på kritiska tjänster, leveranser, funktioner eller förmågor men i begränsad omfattning. Sveriges suveränitet, handlingsfrihet eller oberoende skulle komma att påverkas men i begränsad omfattning. Inte obetydlig skada på andra säkerhetskänsliga verksamheter. Möjligt att återgå till ett normalläge inom en rimlig tid. 

Nivå 2 Ringa skada för Sveriges säkerhet 

Möjlig påverkan på vissa tjänster, leveranser, funktioner eller förmågor i liten omfattning och med ringa skada. Möjlig påverkan på Sveriges suveränitet, handlingsfrihet eller oberoende men i liten omfattning och med ringa skada. Ringa skada på andra säkerhetskänsliga verksamheter. Möjligt att relativt snabbt återgå till ett normalläge. 

Nivå 1 Inte mätbar eller inte relevant konsekvens med bäring på Sveriges säkerhet 

Nationella konsekvenser kan inte påvisas, konkretiseras eller mätas. Verksamheter eller uppgifter bedömda på denna nivå bedriver inte säkerhetskänslig verksamhet. 

PL
Innehållsgranskare:
Viktoria Olausson
2023-05-25