Om säkerhetskänslig verksamhet
En verksamhet är säkerhetskänslig om den är av betydelse för Sveriges säkerhet eller om den omfattas av ett internationellt åtagande om säkerhetsskydd som Sverige måste genomföra. Säkerhetsskydd är förebyggande åtgärder för att skydda Sveriges säkerhet mot spioneri, sabotage, terroristbrott och andra brott.
Vem bedriver säkerhetskänslig verksamhet?
Det är verksamhetsutövarens ansvar att identifiera om verksamheten är säkerhetskänslig eller inte. Det är inte upp till tillsynsmyndigheten att avgöra.
Hur omfattande den säkerhetskänsliga verksamheten är varierar. Den som känner verksamheten bäst och därför kan avgöra hur viktig den är för Sveriges säkerhet är verksamhetsutövaren själv.
Säkerhetskänslig verksamhet delas in i fem olika konsekvenskategorier:
- Sveriges yttre säkerhet
- Sveriges inre säkerhet
- Nationellt samhällsviktig verksamhet
- Sveriges ekonomi
- Skadegenererande verksamhet.
Inom elförsörjningen och för dammanläggningar är de två vanligaste kategorierna nationellt samhällsviktig verksamhet och skadegenererande verksamhet.
Regeringen framhöll i propositionen 2017/18:89 Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag att elförsörjning har en särställning genom sin direkta och indirekta påverkan på samhällets funktion.
Avbrott i elförsörjningen skulle även få allvarliga skadekonsekvenser i andra sektorer, såsom elektroniska kommunikationer och centrala betalningssystem.
Inom elförsörjningen finns det flera verksamhetsutövare som bedriver verksamhet på lokal eller regional nivå.
Svenska kraftnät vill poängtera att även verksamhet på lokal eller regional nivå omfattas av säkerhetsskyddslagstiftningen i de fall där ett antagonistiskt angrepp skulle kunna få nationella följdverkningar och därmed skada Sveriges säkerhet.
Säkerhetsskyddsanalys
Om ni vet att ni bedriver säkerhetskänslig verksamhet eller det finns anledning att tro att ni bedriver säkerhetskänslig verksamhet ska behovet av säkerhetsskydd utredas i en säkerhetsskyddsanalys.
Säkerhetsskyddsanalysen ska identifiera:
- vilka säkerhetsskyddsklassificerade uppgifter och vilken säkerhetskänslig verksamhet ni har i övrigt (exempelvis anläggningar, objekt, system, egendom eller andra tillgångar som är av betydelse för Sveriges säkerhet)
- vilka hot och sårbarheter som finns kopplade till de identifierade skyddsvärdena
- en bedömning av vilka säkerhetsskyddsåtgärder som är nödvändiga.
Verksamhetsutövare ska på begäran av Säkerhetspolisen eller Svenska kraftnät inkomma med sin säkerhetsskyddsanalys till begärande myndighet.
En säkerhetsskyddsanalys kan också resultera i att ni bedömer att ni inte bedriver säkerhetskänslig verksamhet. Säkerhetsskyddsanalysen ska uppdateras vid behov och åtminstone vartannat år.
När säkerhetsskyddsanalysen är fastställd ska de nya säkerhetsskyddsåtgärder ni tänker utföra sammanställas och redovisas i en säkerhetsskyddsplan.
Verksamhetsbeskrivning
Det första steget i er säkerhetsskyddsanalys är verksamhetsbeskrivningen. Där ska ni verksamhetsutövare övergripande beskriva er verksamhet och specificera vilka delar av verksamheten som är av betydelse för Sverige säkerhet. Beskrivningen ska bland annat utgå ifrån de fem konsekvenskategorier.
Motivera era bedömningar tydligt
Det är viktigt att ni i säkerhetsskyddsanalysen motiverar era bedömningar tydligt. Det behöver finnas en tydlig koppling mellan skyddsvärde, hot eller sårbarheter och val av säkerhetsskyddsåtgärder.
Säkerhetsskyddslagen gäller oavsett i vilken form verksamheten bedrivs
Säkerhetsskyddslagstiftningen har till syfte att säkerställa ett skydd för de verksamheter som är allra mest skyddsvärda för Sverige. Den typen av verksamhet bedrivs i olika verksamhetsformer.
Om ni bedriver säkerhetskänslig verksamhet omfattas ni av säkerhetsskyddslagen oavsett verksamhetsform. Det viktiga är om säkerhetskänslig verksamhet bedrivs, inte i vilken form den bedrivs.
Svenska kraftnät är tillsynsmyndighet över enskilda verksamhetsutövare. Det innebär att vi har aktiebolag, ekonomiska föreningar, stiftelser med mera som potentiella tillsynsobjekt.
Det förekommer att elförsörjningsverksamhet bedrivs som kommunal förvaltning men då är inte Svenska kraftnät tillsynsmyndighet.
Varje respektive bolag i koncernen måste uppfylla kraven
Den som bedriver säkerhetskänslig verksamhet kallas i lagen för verksamhetsutövare och ska uppfylla kraven i säkerhetsskyddslagstiftningen. Det finns inga undantag eller särskilda bestämmelser för företag som ingår i en koncern.
Därför behöver ni tänka på att varje företag som är en egen juridisk person med eget organisationsnummer är en separat verksamhetsutövare även om företagen ingår i samma koncern. Detta innebär bland annat följande:
- Alla bolag i en koncern som bedriver säkerhetskänslig verksamhet behöver anmäla det till tillsynsmyndigheten. Det är inte tillräckligt att koncernmoderbolaget anmäler det.
- Varje ledning i ett bolag inom en koncern behöver utse en säkerhetsskyddschef.
- För koncerninterna upphandlingar, avtal, samverkan eller samarbeten som inleds från den 1 december 2021 och som uppfyller kraven i 4 kap. 1 § säkerhetsskyddslagen ska säkerhetsskyddsavtal tecknas.
- För överlåtelser av säkerhetskänslig verksamhet mellan bolag i en koncern gäller 4 kap. 13–20 §§ säkerhetsskyddslagen.
Säkerhetsskyddsförordningen (2021:955) på riksdagens webbplats. (.html) Öppnas i nytt fönster