Säkerhetsskyddsarbetet

För alla finansiella företag i Sverige som till någon del bedriver säkerhetskänslig verksamhet gäller

  • säkerhetsskyddslagen (2018:585)
  • säkerhetsskyddsförordningen (2021:955)
  • Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1)
  • Försvarsmaktens föreskrifter om signalskyddstjänsten (FFS 2021:1).

Säkerhetspolisen har även gett ut en serie om sex vägledningar som stöd för de verksamheter som omfattas av säkerhetsskyddslagstiftningen.

Säkerhetsskyddsregelverket föreskriver om olika skyldigheter för verksamhetsutövare inom den finansiella sektorn. Här följer en kort sammanfattning av de olika områden av säkerhetsskyddsarbetet som regelverket ställer krav på. Sammanfattningen är inte uttömmande, och det är viktigt att uppmärksamma att ansvaret för att leva upp till regelverkets krav ligger på den enskilde verksamhetsutövaren.

Säkerhetsskyddschef 

Vid säkerhetskänslig verksamhet ska det finnas en säkerhetsskyddschef som kontrollerar att verksamhetens säkerhetsskyddsarbete bedrivs i enlighet med säkerhetsskyddslagstiftning. Säkerhetsskyddchefen ska vara direkt underställd verksamhetens vd, och om en sådan saknas verksamhetens ledning. Denne ska leda och kontrollera säkerhetsskyddsarbetet inom verksamheten. Detta ansvar kan inte delegeras till någon annan.

Säkerhetsskyddsanalys 

Verksamhetsutövare som bedriver säkerhetskänslig verksamhet ska göra en säkerhetsskyddsanalys. Analysen ska dokumenteras, och ska kunna utgöra en utgångspunkt för det fortsatta arbetet med olika säkerhetsskyddsåtgärder. Analysen syftar till att identifiera vilka säkerhetsskyddsklassificerade uppgifter som finns i verksamheten samt vilka av verksamhetens övriga delar som är skyddsvärda och behöver säkerhetsskydd.

Om verksamheten omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd, ska detta också ingå i säkerhetsskyddsanalysen.

Säkerhetsskyddsåtgärder 

Med utgångspunkt i vad som framkommit i säkerhetsskyddsanalysen ska de finansiella företag som bedriver säkerhetskänslig verksamhet vidta korrekta och tillräckliga skyddsåtgärder. Verksamhetsutövaren ska kontrollera och följa upp säkerhetsskyddsarbetet och dokumentera åtgärderna i en åtgärdsplan. Åtgärderna delas in i informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Informationssäkerhet

Informationssäkerhet förebygger och förhindrar att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, överförs, görs otillgängliga eller förstörs. Informationssäkerhetsåtgärder ska också förebygga och förhindra skadlig inverkan i säkerhetskänsliga it- eller kommunikationssystem. It-säkerhet kan därför utgöra en egen del i säkerhetsskyddsplanen.

Informationen i den säkerhetskänsliga verksamheten ska klassificeras enligt lagstiftningens krav. Detta är grunden för hur informationen ska hanteras inom verksamheten, och hur system, till exempel it-system, ska utformas.

Fysisk säkerhet

Fysisk säkerhet ska upptäcka, försvåra och hantera obehörigt tillträde eller skadlig inverkan på byggnader, lokaler, datorer och andra fysiska objekt. För detta kan det behövas kameraövervakning, lämpligt fysiskt eller mekaniskt skydd eller skyddsvakt eller polis. Säkerhetsskyddsanalysen är ett viktigt verktyg för att dimensionera det fysiska skyddet.

Personalsäkerhet

Personalsäkerhet ska tillse att endast personer som bedöms vara pålitliga ur säkerhetssynpunkt får tillgång till säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet. Bedömningen görs genom en säkerhetsprövning som består av en säkerhetsprövningsintervju, kontroll av betyg och intyg samt referenstagning. Om befattningen är placerad i säkerhetsklass ska även en registerkontroll göras.

När verksamhetsutövaren har genomfört säkerhetsprövningen och gjort bedömningen att kandidaten kan anses pålitlig och lojal samt har beaktat eventuella sårbarheter, ska en framställan om registerkontroll skickas till Finansinspektionen. Registerkontrollen utförs därefter av Säkerhetspolisen efter begäran från Finansinspektionen.

Blanketter om framställan om registerkontroll och bilaga om särskild personutredning finns på Säkerhetspolisens webbplats och ska skickas in till Finansinspektionen. En framställan om registerkontroll ska kompletteras med en bekräftelse på att en lämplighetsbedömning är genomförd och att samtycke från den som ska kontrolleras är inhämtat, vilket görs på en särskild blankett Finansinspektionens webbplats.

Rutiner och regelverk 

Verksamhetsutövare ska införa interna rutiner för att regelbundet och kontinuerligt arbeta med att identifiera och åtgärda olika brister och sårbarheter i säkerhetsskyddet. Verksamhetsutövare ska också ta fram ett dokumenterat regelverk för att upprätthålla verksamhetens säkerhetsskydd. Regelverkets syfte är att säkerställa att det finns tillräckliga och korrekta rutiner, resurser och kompetenser för att säkerställa säkerhetsskyddet. Regelverket ska också upprätthålla de funktioner som krävs för att tillsäkra kontinuitet i den säkerhetskänsliga verksamheten.

Utbildningsplan 

Verksamhetsutövaren ska tillse att den som anställs eller på annat sätt deltar i verksamheten får erforderlig utbildning i säkerhetsskydd, innan denne får åtkomst till verksamheten. Utbildningen ska svara mot de uppgifter som vederbörande har inom den säkerhetskänsliga verksamheten. Behovet av utbildning ska regelbundet följas upp under den tid deltagandet i den säkerhetskänsliga verksamheten pågår.

Hantering av säkerhetsskyddsklassificerade uppgifter

Säkerhetsskyddsklassificerade uppgifter ska klassificeras, märkas, behandlas, förvaras, distribueras och förstöras i enlighet med regelverkets krav. Regelverket ställer också krav på hur ofta handlingar som innehåller säkerhetsskyddsklassificerade uppgifter ska inventeras.

Kryptografiska funktioner

När säkerhetsskyddsklassificerade uppgifter kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll ska dessa skyddas av kryptografiska funktioner som Försvarsmakten har godkänt. Behöver särskild utrustning inskaffas för att kunna göra detta, kan verksamhetsutövaren vända sig till Myndigheten för samhällsskydd och beredskap (MSB). Verksamhetsutövare inom den finansiella sektorn ska informera Finansinspektionen om anskaffningen.

Senast granskad: 2021-12-01
Laddar sidan