3 kap. Informationssäkerhet

Innan ett informationssystem som har betydelse för säkerhetskänslig verksamhet tas i drift ska verksamhetsutövaren genom en särskild säkerhetsskyddsbedömning ta ställning till vilka säkerhetskrav i systemet som är motiverade och se till att säkerhetsskyddet utformas så att dessa krav tillgodoses. Säkerhetsskyddsbedömningen ska dokumenteras.

Innan ett informationssystem som kan förutses komma att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre tas i drift, eller i väsentliga avseenden förändras, ska verksamhetsutövaren skriftligen samråda med Säkerhetspolisen. Om verksamhetsutövaren hör till Försvarsmaktens eller Försvarets materielverks tillsynsområde ska denne i stället samråda med Försvarsmakten. Samrådsskyldigheten gäller även i fråga om andra informationssystem än sådana som anges i första stycket, om obehörig åtkomst till systemen kan medföra en skada för Sveriges säkerhet som inte är obetydlig. Säkerhetspolisen och Försvarsmakten ska underrätta verksamhetsutövarens tillsynsmyndighet om samråd som skett enligt första stycket.

Ett informationssystem som ska användas i säkerhetskänslig verksamhet får inte tas i drift förrän det har godkänts från säkerhetsskyddssynpunkt av verksamhetsutövaren. Godkännandet ska dokumenteras.

En verksamhetsutövare som ansvarar för ett informationssystem som ska användas i säkerhetskänslig verksamhet ska vidta lämpliga skyddsåtgärder för att kunna upptäcka, försvåra och hantera skadlig inverkan på informationssystemet samt obehörig avlyssning av, åtkomst till och nyttjande av informationssystemet. Verksamhetsutövaren ska också se till att spårbarhet finns för händelser som är av betydelse för säkerheten i systemet. En verksamhetsutövare som ansvarar för ett informationssystem enligt första stycket ska beakta förekomsten av röjande signaler och vidta lämpliga skyddsåtgärder för systemet om informationssystemet avses behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre.

Innan säkerhetsskyddsklassificerade uppgifter behandlas i ett informationssystem utanför verksamhetsutövarens kontroll ska denne försäkra sig om att säkerhetsskyddet för uppgifterna i systemet är tillräckligt. Om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll, ska uppgifterna skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten.

Försvarsmakten får inom sitt och Försvarets materielverks tillsynsområde meddela föreskrifter om undantag från kraven i 4 § första stycket. Säkerhetspolisen får meddela sådana föreskrifter inom övriga tillsynsområden. Regeringskansliet får meddela sådana föreskrifter i fråga om Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474). Försvarsmakten får, om det finns särskilda skäl, också besluta om undantag från kraven i 5 § andra stycket. Försvarsmakten ska samråda med Säkerhetspolisen innan ett beslut om undantag meddelas om det gäller verksamhet som hör till ett annat tillsynsområde än Försvarsmaktens eller Försvarets materielverks tillsynsområde och med Regeringskansliet (Utrikesdepartementet) om kravet följer av ett internationellt säkerhetsskyddsåtagande.

En säkerhetsskyddsklassificerad handling ska förses med en anteckning om vilken säkerhetsskyddsklass uppgifterna i handlingen har. Om handlingen innehåller uppgifter med olika säkerhetsskyddsklass, ska den högsta säkerhetsskyddsklassen avgöra vilken anteckning handlingen ska ha. Försvarsmakten får inom sitt och Försvarets materielverks tillsynsområde meddela föreskrifter om undantag från kravet på anteckning om säkerhetsskyddsklass. Säkerhetspolisen får meddela sådana föreskrifter inom övriga tillsynsområden. Regeringskansliet får meddela sådana föreskrifter i fråga om Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474). Om en säkerhetsskyddsklassificerad handling kan antas komma att lämnas över till en utländsk myndighet, mellanfolklig organisation eller utländsk leverantör, ska den förses med en anteckning om ursprungsland om det inte är olämpligt.

Säkerhetsskyddsklassificerade handlingar som innehåller uppgifter i säkerhetsskyddsklassen kvalificerat hemlig ska inventeras minst en gång per år. Säkerhetsskyddsklassificerade handlingar som innehåller uppgifter i säkerhetsskyddsklassen hemlig eller konfidentiell ska inventeras i den omfattning som anges i Säkerhetspolisens föreskrifter eller, om det gäller verksamhet som hör till Försvarsmaktens eller Försvarets materielverks tillsynsområde, Försvarsmaktens föreskrifter. Regeringskansliet får meddela föreskrifter om i vilken omfattning inventering ska ske i fråga om Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474). För arkiverade handlingar gäller kravet på inventering enbart för handlingar i säkerhetsskyddsklassen kvalificerat hemlig. Hos verksamhetsutövare där offentlighets- och sekretesslagen (2009:400) är tillämplig gäller kravet på inventering endast för allmänna handlingar.

Säkerhetsskyddsklassificerade uppgifter som lämnas till en utländsk myndighet eller en mellanfolklig organisation ska omfattas av ett internationellt säkerhetsskyddsåtagande som Sverige har ingått med den andra staten eller organisationen, om det inte finns särskilda skäl för att sådana uppgifter ändå kan lämnas. Säkerhetsskyddsklassificerade uppgifter får inte lämnas till en utländsk leverantör om inte Sverige har ingått ett internationellt säkerhetsskyddsåtagande med den andra staten och leverantören har godkänts genom en kontroll enligt den andra statens säkerhetsskyddslagstiftning.

För sådana försändelser till och från utlandet som innehåller säkerhetsskyddsklassificerade handlingar och som inte skyddas av kryptografiska funktioner enligt 5 § ska Utrikesdepartementets kurirförbindelser anlitas. Försvarsmakten får inom sitt och Försvarets materielverks tillsynsområde meddela föreskrifter om undantag från kravet i första stycket. Säkerhetspolisen får meddela sådana föreskrifter inom övriga tillsynsområden. Regeringskansliet får meddela sådana föreskrifter i fråga om Regeringskansliet, utlandsmyndigheterna och sådana kommittéer och särskilda utredare som avses i kommittéförordningen (1998:1474).