Säkerhetskyddsanalys

Universitetsdirektören har beslutat att en säkerhetsskyddsanalys ska genomföras under 2023 på grund av kraven på oss som myndighet att bedöma behovet av åtgärder kopplat till säkerhetsskyddslagen. 

Säkerhetsskyddsanalysen genomförs av funktionerna för dataskydd, IT-säkerhet, fysisk säkerhet och informationssäkerhet. Syftet är att fastställa om någon del av verksamheten inom KI bedöms vara säkerhetskänslig med avseende på Sveriges säkerhet, och vad som i så fall behöver göras.

Vem ska göra en säkerhetsskyddsanalys?  

Myndigheter och privata aktörer som bedriver säkerhetskänslig verksamhet utifrån säkerhetsskyddslagen ska utreda behovet av åtgärder och dokumentera det i en säkerhetsskyddsanalys. Säkerhetsskyddsanalysen är viktig för ett strukturerat och systematiskt säkerhetsskyddsarbete och är en förutsättning för att kunna vidta nödvändiga åtgärder. Säkerhetsskyddsanalysen ska ge svar på: 

• Vad som ska skyddas? 
• Mot vad, varför behövs skyddet? 
• Hur ska det skyddas? 

Antagonistiska hot som spioneri, sabotage och terroristbrott samt andra brott som kan hota verksamheten och skada Sveriges säkerhet ska beaktas i säkerhetsskyddsanalysen. 

För KI är det i nuläget inte tydligt om säkerhetskänslig verksamhet bedrivs eller om säkerhetsskyddsklassificerade uppgifter hanteras. Därför används metoden för säkerhetsskyddsanalys i syfte att bedöma om så är fallet. Om KI kommer fram till att ingen säkerhetskänslig verksamhet bedrivs och att inga säkerhetsskyddsklassificerade uppgifter hanteras så ska slutsatserna dokumenteras men det ordinarie säkerhetsarbetet fortsätter som vanligt.  

Säkerhetskänslig verksamhet 

Utifrån säkerhetsskyddslagen är säkerhetskänslig verksamhet sådan som är av betydelse för Sveriges säkerhet enligt följande kategorier: 

• Sveriges yttre säkerhet - Sveriges förmåga att upprätthålla nationellt försvar (territoriell suveränitet) samt upprätthållande av Sveriges integritet, oberoende och handlingsfrihet (politisk självständighet). 
  Exempel: Försvarsmakten och andra verksamheter i det civila försvaret och försvarsindustrin. 
   
• Sveriges inre säkerhet - Sveriges förmåga att upprätthålla och säkerställa grundläggande strukturer, inklusive det demokratiska statsskicket, rättsväsendet och den brottsbekämpande förmågan på nationell nivå. 
  Exempel: Säpo, polis med fler 
   
• Nationellt samhällsviktig verksamhet - Verksamheter som definieras som nationellt samhällsviktiga ur ett säkerhetsskyddsperspektiv återfinns bland annat inom områdena energiförsörjning, elektroniska kommunikationer, finansiella tjänster (centrala betalningssystem), livsmedelsförsörjning, vattenförsörjning och transporter. 
  Exempel: anläggningar, system och funktioner i transmissionsnätet för det nationella elsystemet. Teleoperatörer med fler. Obs! nationellt samhällsviktig verksamhet är inte att likställa med samhällsviktig verksamhet 
   
• Verksamhet av betydelse för Sveriges ekonomi - Tjänster, leveranser, funktioner eller förmågor som är nödvändiga för den nationella betalningsförmågan. Vidare avses förmågan att hantera, administrera, granska, styra och stödja den nationella finansiella stabiliteten. 
  Exempel: centrala betalsystem 
   
• Verksamhet som kan generera skada på annan säkerhetskänslig verksamhet – En skadegenererande verksamhet är en verksamhet som vid en antagonistisk handling kan generera skada på andra säkerhetskänsliga verksamheter genom påverkan på liv, hälsa eller infrastruktur. Påverkan på liv och hälsa kan uttryckas i att många människor förväntas att dö eller skadas, och påverkan på infrastruktur avser fysisk förstöring av annan säkerhetskänslig verksamhet. 
  Exempel: kärnteknisk verksamhet, kemiska industrier, centrala laboratorier för hälso- och sjukvården. 

För att besvara frågan om KI bedriver säkerhetskänsligverksamhet behöver vi identifiera om det bedrivs någon verksamhet (tjänster, leveranser, funktioner eller förmågor) i syfte att verka inom någon av kategorierna ovan. 

Säkerhetsskyddsklassificerade uppgifter 

Säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle ha omfattats av sekretess enligt den lagen, om den hade varit tillämplig.

Exempel: 

• 15 kap. 1 – 1b §§ om utrikessekretess
• 15 kap. 2 § om försvarssekretess  
• 18 kap. 1 § om förundersökningar m.m.  
• 18 kap. 2 § om underrättelseverksamhet  
• 18 kap. 8 § om säkerhets- eller bevakningsåtgärd  
• 18 kap. 13 § om risk- och sårbarhetsanalyser m.m. 

För att besvara frågan om KI hanterar säkerhetsskyddsklassificerade uppgifter behöver vi identifiera om dessa behandlas lagras eller transporteras någonstans inom KI:s verksamhet. Det skulle till exempel kunna vara ett projekt som hanterar information om säkerhetskänslig verksamhet som bedrivs av en annan organisation eller extern part. I säkerhetsskyddsanalysen identifieras och bedöms hur allvarliga konsekvenserna av eventuella skador kan bli.  

Nedan ges en överblick över hur graden av konsekvens ska bedömas och inom vilken kategori konsekvenserna bedöms uppstå. Konsekvenserna bedöms med kriterierna ”endast ringa skada, inte obetydlig skada, allvarlig skada och synnerligen allvarlig skada” i nivå A-D. Kategorierna är ”Sveriges yttre säkerhet, Sveriges inre säkerhet, nationellt samhällsviktig verksamhet, Sveriges ekonomi och skadegenererande verksamhet”.  En matris över detta återfinns i bilagan till Säkerhetspolisens föreskrifter (PMFS 2022:1) om säkerhetsskydd. 

Anläggningar, objekt, system, egendom och andra tillgångar som är av betydelse för Sveriges säkerhet ska delas in i konsekvensnivåer enligt följande:

• synnerlig allvarlig skada för Sveriges säkerhet (nivå A)
• allvarlig skada för Sveriges säkerhet (nivå B)
• inte obetydlig skada för Sveriges säkerhet (nivå C)
• endast ringa skada för Sveriges säkerhet (nivå D)

Konsekvensnivåer

Nivå A - Synnerligen allvarlig skada för Sveriges säkerhet

Kritiska tjänster, leveranser, funktioner eller förmågor slås ut eller påverkas mycket allvarligt som i sin tur kan medföra att Sverige skulle komma att förlora sin suveränitet, handlingsfrihet eller oberoende, eller synnerligen allvarlig skada för Sveriges säkerhet till följd av skada på andra
säkerhetskänsliga verksamheter, och mycket svårt att återgå till normalläge.

Nivå B - Allvarlig skada för Sveriges säkerhet

Kritiska tjänster, leveranser, funktioner eller förmågor påverkas allvarligt som i sin tur kan medföra allvarliga begränsningar i Sveriges suveränitet, handlingsfrihet eller oberoende, eller
allvarlig skada för Sveriges säkerhet till följd av skada på andra
säkerhetskänsliga verksamheter, och svårt att återgå till ett normalläge.

Nivå C - Inte obetydlig skada för Sveriges säkerhet

Kritiska tjänster, leveranser, funktioner eller förmågor påverkas påtagligt som i sin tur kan medföra att Sveriges suveränitet, handlingsfrihet eller oberoende skulle komma att påverkas men i begränsad omfattning, eller inte obetydlig skada för Sveriges säkerhet till följd av skada på andra säkerhetskänsliga verksamheter, och möjligt att återgå till normalläge inom rimlig tid.

Nivå D - Endast ringa skada för Sveriges säkerhet

Kritiska tjänster, leveranser, funktioner eller förmågor påverkas ringa som i sin tur kan medföra påverkan på Sveriges suveränitet, handlingsfrihet eller oberoende men i liten omfattning, eller ringa skada för Sveriges säkerhet till följd av skada på andra säkerhetskänsliga verksamheter, och möjligt att relativt snabbt återgå till ett normalläge.