Kort om säkerhetsskyddsarbetet

Säkerhetsskyddsregelverket föreskriver om olika skyldigheter för verksamhetsutövare inom den finansiella sektorn.

För verksamhetsutövare inom området finansiella företag i Sverige gäller främst

  • Säkerhetsskyddslagen (2018:585)
  • Säkerhetsskyddsförordningen (2021:955)
  • Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1)
  • Försvarsmaktens föreskrifter om signalskyddstjänsten (FFS 2021:1).
  • Finansinspektionen föreskrifter om säkerhetsskydd (FFFS 2022:17)

Säkerhetspolisen har även gett ut en serie om sex vägledningar som stöd för de verksamheter som omfattas av säkerhetsskyddslagstiftningen.

Säkerhetsskyddsarbetet ska vara ett ständigt pågående arbete. Det bygger på en kontinuerlig identifiering av skyddsvärda tillgångar, säkerhetsskyddsanalys, uppdatering av säkerhetskyddsplanen, utformning av skyddet, vidtagna åtgärder och uppföljning.

Här följer en kort sammanfattning av de olika områden av säkerhetsskyddsarbetet som regelverket ställer krav på. Sammanfattningen är inte uttömmande och det är viktigt att notera att ansvaret för att leva upp till regelverkets krav ligger på den enskilde verksamhetsutövaren.

Säkerhetsskyddschef

Vid en säkerhetskänslig verksamhet ska det finnas en säkerhetsskyddschef som kontrollerar att verksamhetens säkerhetsskyddsarbete bedrivs i enlighet med säkerhetsskyddslagstiftningen. Säkerhetsskyddchefen ska vara direkt underställd verksamhetens vd, och om en sådan saknas verksamhetens ledning. Säkerhetsskyddchefen ska leda, samordna och kontrollera säkerhetsskyddsarbetet inom verksamheten. Detta ansvar kan inte delegeras till någon annan.

Säkerhetsskyddsanalys

Verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska göra en säkerhetsskyddsanalys. Den ska uppdateras minst vartannat år. Analysen ska dokumenteras och kunna fungera som en utgångspunkt för det fortsatta arbetet med olika säkerhetsskyddsåtgärder. Säkerhetsskyddsanalysen syftar till att identifiera vilka säkerhetsskyddsklassificerade uppgifter som finns i verksamheten och vilka av verksamhetens övriga delar som är skyddsvärda och behöver säkerhetsskydd.
Om verksamheten omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd ska detta också ingå i säkerhetsskyddsanalysen.

Säkerhetsskyddsplan och säkerhetsskyddsåtgärder

Med utgångspunkt i vad som framkommit i säkerhetsskyddsanalysen ska de finansiella företag som bedriver säkerhetskänslig verksamhet vidta korrekta och tillräckliga skyddsåtgärder. Detta görs i en säkerhetsskyddsplan. Planen ska redogöra för hur de säkerhetsskyddsåtgärder som säkerhetsskyddsanalysen visar behöver göras ska tas om hand. Det ska vidare framgå när åtgärderna ska vidtas och vilken funktion som ansvarar för dem. Verksamhetsutövaren ska kontrollera och följa upp säkerhetsskyddsarbetet och dokumentera åtgärderna i en åtgärdsplan. Åtgärderna delas in i informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Informationssäkerhet

Informationssäkerhet förebygger och förhindrar att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs. Informationssäkerhetsåtgärder ska också förebygga och förhindra skadlig inverkan i säkerhetskänsliga it- eller kommunikationssystem. It-säkerhet kan därför utgöra en egen del i säkerhetsskyddsplanen.
Informationen i den säkerhetskänsliga verksamheten ska klassificeras enligt lagstiftningens krav. Detta är grunden för hur informationen ska hanteras inom verksamheten och hur system, till exempel it-system, ska utformas.

Fysisk säkerhet

Fysisk säkerhet ska upptäcka, försvåra och hantera obehörigt tillträde eller skadlig inverkan på byggnader, lokaler, datorer och andra fysiska objekt. För detta kan det behövas kameraövervakning, lämpligt fysiskt eller mekaniskt skydd eller skyddsvakt eller polis. Säkerhetsskyddsanalysen är ett viktigt verktyg för att dimensionera det fysiska skyddet.

Personalsäkerhet

Personalsäkerhet ska säkerställa att endast personer som bedöms vara pålitliga ur säkerhetssynpunkt får tillgång till säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet. Bedömningen görs genom en säkerhetsprövning som består av en grundutredning och registerkontroll.

Grundutredningen ska bland annat omfatta en säkerhetsprövningsintervju, kontroll av betyg och intyg samt referenstagning. Säkerhetsprövningsintervjun ska ge underlag till att kunna bedöma den enskildes lojalitet, pålitlighet och sårbarhet. Om befattningen är placerad i säkerhetsklass ska även en registerkontroll hos Säkerhetspolisen göras.

När verksamhetsutövaren har genomfört grundutredningen och gjort bedömningen att kandidaten kan anses pålitlig och lojal samt har beaktat eventuella sårbarheter, ska en ansökan om registerkontroll skickas till Finansinspektionen. Registerkontrollen utförs därefter av Säkerhetspolisen efter begäran av Finansinspektionen.

Blanketter för ansökan om registerkontroll och bilaga om särskild personutredning finns på Säkerhetspolisens webbplats och ska skickas in till Finansinspektionen. En ansökan om registerkontroll ska kompletteras med en bekräftelse på att en lämplighetsbedömning är genomförd och att samtycke från den som ska kontrolleras är inhämtat, vilket görs på en särskild blankett, som finns på Finansinspektionens webbplats.

Rutiner och regelverk

Verksamhetsutövare ska införa interna rutiner för att regelbundet och kontinuerligt arbeta med att identifiera och åtgärda olika brister och sårbarheter i säkerhetsskyddet. Verksamhetsutövare ska också ta fram ett dokumenterat regelverk för att upprätthålla verksamhetens säkerhetsskydd. Regelverkets syfte är att se till att det finns tillräckliga och korrekta rutiner, resurser och kompetenser för att säkerställa säkerhetsskyddet. Regelverket ska också upprätthålla de funktioner som krävs för att säkra kontinuiteten i den säkerhetskänsliga verksamheten.

Utbildningsplan

Verksamhetsutövaren ska se till att den som anställs eller på annat sätt deltar i verksamheten får nödvändig utbildning i säkerhetsskydd innan denna person får åtkomst till verksamheten. Utbildningen ska svara mot de uppgifter som vederbörande har inom den säkerhetskänsliga verksamheten. Behovet av utbildning ska regelbundet följas upp under den tid personen i fråga deltar i den säkerhetskänsliga verksamheten.

Hantering av säkerhetsskyddsklassificerade uppgifter

Säkerhetsskyddsklassificerade uppgifter ska klassificeras, märkas, behandlas, förvaras, distribueras och förstöras i enlighet med regelverkets krav. Det finns också krav på hur ofta handlingar som innehåller säkerhetsskyddsklassificerade uppgifter ska inventeras.

Kryptografiska funktioner

När säkerhetsskyddsklassificerade uppgifter kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll ska dessa skyddas av kryptografiska funktioner som Försvarsmakten har godkänt. Behöver särskild utrustning inskaffas för att kunna göra detta, kan verksamhetsutövaren vända sig till Myndigheten för samhällsskydd och beredskap (MSB). Verksamhetsutövare inom den finansiella sektorn ska informera Finansinspektionen om inköpet.

Säkra kryptografiska funktioner (MSB)


Senast granskad: 2023-08-16