2 kap. Grundläggande bestämmelser om säkerhetsskydd
Ur Säkerhetsskyddsförordning (2021:955)
Sammanfattning
En verksamhetsutövare ska göra en säkerhetsskyddsanalys som identifierar säkerhetsskyddsklassificerade uppgifter, säkerhetskänslig verksamhet i övrigt samt hot och sårbarheter, och analysen ska innehålla en bedömning av nödvändiga säkerhetsskyddsåtgärder samt uppdateras vid behov och åtminstone vartannat år (1 §).
Behörig att få del av säkerhetsskyddsklassificerade uppgifter eller tillgång till säkerhetskänslig verksamhet i övrigt är, om inte något annat följer av bestämmelser i lag, endast den som bedömts pålitlig från säkerhetssynpunkt, har tillräckliga kunskaper om säkerhetsskydd och behöver tillgången för att kunna utföra sitt arbete eller på annat sätt medverka i den säkerhetskänsliga verksamheten (2 §).
En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen, och om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde även till Försvarsmakten, om det finns skäl att anta att en säkerhetsskyddsklassificerad uppgift otillåtet har röjts, om det inträffat en it-incident som allvarligt kan påverka säkerheten i ett informationssystem eller vid kännedom eller misstanke om annan allvarlig säkerhetshotande verksamhet (4 §).
En verksamhetsutövare som är skyldig att anmäla händelser enligt 4 § första stycket 1 eller 2 och som tillhandahåller tjänster åt en annan verksamhetsutövare ska i samband med anmälan informera och vid behov samråda med de uppdragsgivare som berörs av incidenten (5 §).
Denna sammanfattning är förenklad. Läs originaltexten nedan för fullständig information.
Vanliga frågor
Hur ofta ska en säkerhetsskyddsanalys uppdateras och vad ska den innehålla?
En verksamhetsutövare ska göra en säkerhetsskyddsanalys. Analysen ska identifiera vilka säkerhetsskyddsklassificerade uppgifter och vilken säkerhetskänslig verksamhet i övrigt som finns i verksamheten. Den ska även identifiera vilka hot och sårbarheter som finns kopplade till dessa skyddsvärden. Säkerhetsskyddsanalysen ska innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen ska uppdateras vid behov och åtminstone vartannat år (1 §).
Vem är behörig att få del av säkerhetsskyddsklassificerade uppgifter?
Behörig att få del av säkerhetsskyddsklassificerade uppgifter eller tillgång till säkerhetskänslig verksamhet i övrigt är, om inte något annat följer av bestämmelser i lag, endast den som har bedömts pålitlig från säkerhetssynpunkt. Den enskilde ska ha tillräckliga kunskaper om säkerhetsskydd. Den enskilde ska även behöva uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt medverka i den säkerhetskänsliga verksamheten (2 §).
När måste en verksamhetsutövare anmäla en händelse till Säkerhetspolisen?
En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen om det finns skäl att anta att en säkerhetsskyddsklassificerad uppgift otillåtet har röjts. Anmälan ska även göras om det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet. Anmälan ska också göras om verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet. Om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde ska anmälan göras också till Försvarsmakten (4 §).
Lagtext
1 §
En verksamhetsutövare ska enligt 2 kap. 1 § säkerhetsskyddslagen (2018:585) göra en säkerhetsskyddsanalys. Säkerhetsskyddsanalysen ska identifiera vilka säkerhetsskyddsklassificerade uppgifter och vilken säkerhetskänslig verksamhet i övrigt som finns i verksamheten samt vilka hot och sårbarheter som finns kopplade till dessa skyddsvärden. Säkerhetsskyddsanalysen ska även innehålla en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga. Analysen ska uppdateras vid behov och åtminstone vartannat år.
2 §
Behörig att få del av säkerhetsskyddsklassificerade uppgifter eller tillgång till säkerhetskänslig verksamhet i övrigt är, om inte något annat följer av bestämmelser i lag, endast den som 1. har bedömts pålitlig från säkerhetssynpunkt, 2. har tillräckliga kunskaper om säkerhetsskydd, och 3. behöver uppgifterna eller annan tillgång till verksamheten för att kunna utföra sitt arbete eller på annat sätt medverka i den säkerhetskänsliga verksamheten.
3 §
En verksamhetsutövare ska upplysa den som tillåts ta del av säkerhetsskyddsklassificerade uppgifter om räckvidden och innebörden av den sekretess och tystnadsplikt som följer av offentlighets- och sekretesslagen (2009:400) respektive 8 kap. 2 § säkerhetsskyddslagen (2018:585).
2 paragrafer refererar hit
4 §
En verksamhetsutövare ska skyndsamt anmäla till Säkerhetspolisen om 1. det finns skäl att anta att en säkerhetsskyddsklassificerad uppgift otillåtet har röjts, 2. det inträffat en it-incident i ett informationssystem som verksamhetsutövaren är ansvarig för och som har betydelse för säkerhetskänslig verksamhet och där incidenten allvarligt kan påverka säkerheten i systemet, eller 3. verksamhetsutövaren får kännedom eller misstanke om någon annan för denne allvarlig säkerhetshotande verksamhet. Om verksamhetsutövaren tillhör Försvarsmaktens tillsynsområde ska anmälan göras också till Försvarsmakten. Säkerhetspolisen ska underrätta verksamhetsutövarens tillsynsmyndighet om en anmälan som gjorts enligt första stycket.
8 paragrafer refererar hit
Från Säkerhetsskyddsförordningen (8)
5 §
En verksamhetsutövare som är skyldig att anmäla säkerhetshotande händelser enligt 4 § första stycket 1 eller 2 och som tillhandahåller tjänster åt en annan verksamhetsutövare ska i samband med anmälan informera och vid behov samråda med de uppdragsgivare som berörs av incidenten. Vid anmälan enligt 4 § första stycket 1 eller 2 som rör säkerhetsskyddsklassificerade uppgifter som omfattas av ett internationellt säkerhetsskyddsåtagande enligt 7 kap. 1 §, ska Säkerhetspolisen underrätta den myndighet som är nationell säkerhetsmyndighet enligt det internationella säkerhetsskyddsåtagandet.