Start

Säkerhetsskydd – en introduktion

Säkerhetsskydd går ut på att skydda säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter. På denna sida kan du få en grundförståelse för området säkerhetsskydd. Det har du nytta av om du kommer i kontakt med säkerhetsskyddade upphandlingar som leverantör eller som representant för den upphandlande organisationen.

Vad innebär säkerhetsskydd? 

Säkerhetsskydd innebär förebyggande skydd av säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. Säkerhetsskydd innebär även skydd i andra fall av säkerhetsskyddsklassificerade uppgifter. 

Med säkerhetskänsliga verksamheter menas verksamheter som är av betydelse för Sveriges säkerhet. Det kan också vara verksamheter som omfattas av ett internationellt åtagande om säkerhetsskydd som är förpliktigande för Sverige.  

Internationella åtaganden om säkerhetsskydd

Ansvaret för säkerhetsskyddet 

En grundprincip inom säkerhetsskydd är att säkerhetsskyddet ska vara detsamma oavsett i vilken verksamhet som säkerhetsskyddsklassificerade uppgifter förekommer eller var säkerhetskänslig verksamhet bedrivs. Samma skydd ska upprätthållas oavsett om verksamheten bedrivs av offentliga eller privata aktörer.  

Den som till någon del bedriver säkerhetskänslig verksamhet benämns i lagstiftningen som “verksamhetsutövaren”. Det är verksamhetsutövaren som ansvarar för att den säkerhetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna får ett ändamålsenligt säkerhetsskydd. Detta gäller såväl inför och under upphandlingsprocessen som under och efter affärs- eller samarbetsrelationen.  

Den som till någon del bedriver säkerhetskänslig verksamhet har alltså ansvar för säkerhetsskyddet i sin verksamhet. Det ansvaret kan aldrig läggas ut på någon annan part, till exempel en leverantör.   

Se mer om vilka som omfattas av säkerhetsskyddslagstiftningen i avsnittet Vem omfattas av säkerhetsskyddslagen?

Sveriges säkerhet

I säkerhetsskyddslagstiftningen har det tidigare begreppet rikets säkerhet helt ersatts av Sveriges säkerhet 

Begreppet Sveriges säkerhet handlar om Sveriges oberoende i form av självständighet och suveränitet samt bestånd. Med begreppet vill lagstiftaren tydliggöra att det inte endast är det militära försvaret som avses; säkerhetsskyddslagstiftningen ska även skydda övergripande nationella intressen och samhällsvärden. Detta framgår av förarbetena till säkerhetsskyddslagen. Det kan alltså handla om både militär och civil verksamhet. Exempelvis kan det bli aktuellt med säkerhetsskydd när varor och tjänster upphandlas för energi- och vattenförsörjning, hälso- och sjukvård, digital infrastruktur och bevakning av viktiga byggnader. 

Det framgår också av förarbetena att det är svårt att konkretisera vad Sveriges säkerhet innebär. Det som konkretiseras är olika faktorer som är av betydelse vid verksamhetsutövarens bedömning om en verksamhet, helt eller till viss del, har betydelse för Sveriges säkerhet. 

Sveriges och rikets säkerhet i förhållande till annan lagstiftning 

Begreppet rikets säkerhet har ersatts av Sveriges säkerhet även i upphandlingslagstiftningen, med undantag för lagen (2016:1147) om upphandling av koncessioner (LUK). I LUK står det fortfarande rikets säkerhet. Sannolikt finns det ett utrymme att här göra en ändamålsenlig tolkning där rikets säkerhet förstås som Sveriges säkerhet även enligt LUK. 

I offentlighets- och sekretesslagen (2009:400) (OSL) används främst rikets säkerhet, och där förekommer inte säkerhetsskyddslagens (2018:585) säkerhetsskyddsklassificeringar. Enligt förarbetena till säkerhetsskyddslagen framgår det dock att en säkerhetsskyddsklassificerad uppgift till sin natur är sådan att uppgiften materiellt sett kan hänföras till bestämmelser om sekretess i OSL med hänsyn till bland annat Sveriges säkerhet. Detta går även att utläsa av de hänvisningar som görs till OSL i säkerhetsskyddslagstiftningen. 

Vilka uppgifter ska skyddas enligt säkerhetsskyddslagstiftningen?  

Sekretessbestämmelser om vilka uppgifter som ska skyddas finns i OSL. OSL reglerar däremot inte hur uppgifter som omfattas av sekretess med hänsyn till rikets (Sveriges) säkerhet ska hanteras och skyddas. Detta regleras i stället av säkerhetsskyddslagstiftningen.  

Säkerhetsskyddslagstiftningen reglerar skyddet av säkerhetsskyddsklassificerade uppgifter. Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt OSL eller som skulle ha omfattats av sekretess enligt OSL om OSL hade varit tillämplig. Det senare tar framför allt sikte på enskilda näringsutövare som inte är myndigheter, regioner eller kommuner.  

För att säkerhetsskyddsklassificera uppgifter behöver dessa enskilda näringsutövare därför göra en sekretessbedömning på motsvarande sätt som en offentlig aktör som omfattas av OSL, trots att näringsutövaren inte omfattas av OSL. Säkerhetsskyddslagstiftningen har alltså anpassats för det faktum att OSL normalt sett inte är tillämplig på enskilda näringsutövare.  

Fyra säkerhetsskyddsklasser för uppgifter som ska skyddas 

Säkerhetsskyddsklassificerade uppgifter ska delas in i fyra nivåer av säkerhetsskyddsklasser. Vilken klass uppgifterna hör till beror på vilken skada som röjandet av uppgifterna kan medföra för Sveriges säkerhet. 

Dessa säkerhetsskyddsklasser finns: 

  1. kvalificerat hemlig vid en synnerligen allvarlig skada 
  2. hemlig vid en allvarlig skada 
  3. konfidentiell vid en inte obetydlig skada 
  4. begränsat hemlig vid endast ringa skada. 

Klassificeringen får även betydelse för tillämpningen av andra bestämmelser i säkerhetshetsskyddslagstiftningen. Bland annat påverkar klassificeringen huruvida det krävs skyddsåtgärder och i vilken säkerhetsklass en anställning eller annat deltagande ska placeras.  

Om säkerhetsskyddsklassificerad uppgift som omfattas av ett internationellt åtagande om säkerhetsskydd inte redan har klassificerats av en annan stat eller mellanfolklig organisation ska den på motsvarande sätt delas in i säkerhetsskyddsklass. Indelningen i säkerhetsskyddsklass ska i sådant fall göras utifrån den skada som ett röjande av uppgiften kan medföra för Sveriges förhållande till annan stat eller mellanfolklig organisation.   

Även vissa objekt, anläggningar och liknande ska skyddas  

Utöver skydd för säkerhetsskyddsklassificerade uppgifter kan det exempelvis bli aktuellt att skydda anläggningar, objekt, system, egendom och andra tillgångar som är av betydelse för Sveriges säkerhet.  

Vem omfattas av säkerhetsskyddslagen?  

Säkerhetsskyddslagen gäller för den som till någon del bedriver säkerhetskänslig verksamhet. Med ”den som” avses alla verksamheter oavsett verksamhetsform. Det spelar alltså ingen roll om verksamheten bedrivs av offentliga aktörer såsom statliga myndigheter, kommuner och regioner eller av enskilda näringsutövare (privata aktörer).  

Med ”till någon del” har lagstiftaren tydliggjort att det inte krävs att hela verksamheten är säkerhetskänslig verksamhet för att säkerhetsskyddslagen ska bli tillämplig. Vilken verksamhet, eller del av verksamhet, som är säkerhetskänslig behöver verksamhetsutövaren själv bedöma och avgöra i det enskilda fallet.  

Verksamhetsutövarens bedömning om dennes verksamhet är säkerhetskänslig behöver utgå från verksamhetsutövarens säkerhetsskyddsanalys. Det är verksamhetsutövarens ansvar att identifiera och bedöma behovet av säkerhetsskydd. 

Säkerhetsskyddsanalys

Upprätthållande av säkerhetsskydd genom tre typer av säkerhetsskyddsåtgärder 

Säkerhetsskydd kan upprätthållas med hjälp av olika sorters säkerhetsskyddsåtgärder, indelade i tre kategorier: 

Dessa tre sorters säkerhetsskyddsåtgärder samverkar och utgör ett sammanhållet system för att skydda säkerhetskänslig verksamhet. Se gärna säkerhetsskyddet som ett system som aldrig är starkare än dess svagaste länk. 

En aktör som involveras i den säkerhetskänsliga verksamheten, till exempel en leverantör i en säkerhetsskyddad upphandling, måste följa verksamhetsutövarens krav på säkerhetsskyddsåtgärder. Detta regleras i ett säkerhetsskyddsavtal. 

Säkerhetsskyddet ska inte vara mer omfattande än motiverat 

Det är viktigt att säkerhetsskyddet inte görs mer omfattande än nödvändigt och att valda åtgärder motiveras av behovet. Använd säkerhetsskyddsanalysen som utgångspunkt när ni väljer säkerhetsskyddsåtgärder.  

Proportionalitet i kravställning och vid val av säkerhetsskyddsåtgärder

Länkar för fördjupning 

Du kan läsa mer om säkerhetsskydd på Säkerhetspolisens webbplats.