Viktigaste nyheterna i Säkerhetspolisens nya föreskrifter om säkerhetsskydd, PMFS 2022:1
Säkerhetspolisens nya föreskrifter om säkerhetsskydd trädde i kraft den 1 mars i år. I detta inlägg presenteras ett urval av de viktigaste förändringarna men det görs inte anspråk på att vara en heltäckande redogörelse över samtliga förändringar.
De nya föreskrifterna har både innehållsmässigt och redaktionellt anpassats till de senaste ändringar i säkerhetsskyddslagstiftningen. Det gäller i huvudsak bestämmelser om överlåtelse av säkerhetskänslig verksamhet (1 januari 2021) samt skyldigheter när en annan aktör kan få del av säkerhetskänslig verksamhet och säkerhetsskyddschefens organisatoriska placering (1 december 2021). Anpassningar till den nya säkerhetsskyddsförordningen (2021:955) har också skett.
Utöver nämnda följdändringar innehåller föreskrifterna några viktiga förtydliganden och nya bestämmelser. Det gäller till exempel att tillsynsmyndigheterna ska uppmärksamma Säkerhetspolisen om vilka verksamhetsutövare som kan ha behov av beskrivningar av dimensionerande antagonistiska förmågor. Det sistnämnda begreppet - dimensionerande antagonistiska förmågor - har ersatt det tidigare begreppet dimensionerande hotbeskrivning (DHB). Begreppet är centralt eftersom flera bestämmelser hänvisar till sådana beskrivningar. Begreppsändringen i sig är dock mest ett förtydligande och syftet är detsamma nämligen att dimensionera säkerhetsskyddsåtgärderna utifrån beskrivningen oavsett om det motsvaras av ett identifierat säkerhetshot mot den säkerhetskänsliga verksamheten. Samtidigt har begreppet särskilt säkerhetskänslig verksamhet utgått och det därtill anknutna rapporteringskravet. Sammantaget ställs högre krav på tillsynsmyndigheterna att skaffa sig kunskap om verksamhetsutövarnas behov. Nya bestämmelser finns även i kapitlet om fysisk säkerhet. De rör krav på rutiner för olämpliga föremål samt beslutskrav för vilka utrymmen som är godkända för att försvåra obehörig avlyssning och obehörig insyn. Bedömningarna som ska ske enligt dessa bestämmelser får utgöra exempel på när inte endast identifierade säkerhetshot ska beaktas utan även nämnda beskrivningar av dimensionerande antagonistiska förmågor, om Säkerhetspolisen tillhandahållit det.
1 kap. Allmänna bestämmelser
Ändringar i ord och uttryck
Smärre förändringar har skett i definitionen röjande signaler, som nu endast avser elektromagnetiska signaler och inte akustiska signaler. Även definitionen för skadlig kod har ändrats och inbegriper nu det bredare begreppet elektronisk kommunikation och inte elektroniskt kommunikationsnät.
2 kap. Grundläggande bestämmelser om säkerhetsskydd
Momenten i en säkerhetsskyddsanalys tydliggjort
I det nya föreskrifterna är det nu förtydligat vilka moment en säkerhetsskyddsanalys ska innehålla. Momentet verksamhetsbeskrivning fanns ej uttryckligen i tidigare föreskrifter. Även konsekvensnivåindelningen är ny och indelas nu i fyra nivåer benämnda A till D där A motsvarar nivå 5 i tidigare föreskrifter. Säkerhetsskyddsanalyser som fastställts före den 1 mars 2022 behöver inte omedelbart uppdateras. Det kan göras i samband med nästa föreskriven uppdatering.
Borttagna delegationsmöjligheter, m.m.
En nyhet är att delegationsmöjligheten för beslut om fastställande av säkerhetsskyddsanalysen till en chef eller organ som den högsta chefen eller det motsvarande organet bestämmer har tagits bort. Nytt är vidare att verksamhetsutövaren på begäran ska lämna sin säkerhetsskyddsanalys till tillsynsmyndigheten respektive Säkerhetspolisen samt att säkerhetsskyddsplanen utan delegationsmöjlighet ska fastställas av säkerhetsskyddschefen.
Innehållet i särskild säkerhetsskyddsbedömning preciserat
Föreskriftsbestämmelsen om särskild säkerhetsskyddsbedömning är nu kraftigt omarbetad och föreskriver en gemensam lista över vad sådana bedömningar ska innehålla.
3 kap. Informationssäkerhet
Större tillämpningsområde för hanteringsreglerna om informationssäkerhet
Sammanfattningsvis träffar vissa hanteringsregler i kapitel 3 fler säkerhetsskyddsklasser än tidigare vilket gör att krav på informationssäkerhetsåtgärder i praktiken omfattar fler handlingar och lagringsmedium än tidigare. Det gäller till exempel föreskrift om märkning av fysiska säkerhetsskyddsklassificerade handlingar med exemplarnummer (konfidentiell och högre) och viss märkning av lagringsmedium oavsett säkerhetsskyddsklass samt krav på kvittering vid mottagande av säkerhetsskyddsklassificerad fysisk handling i säkerhetsskyddsklassen (konfidentiell och högre). Det finns fler exempel som rör den årliga inventeringen av säkerhetsskyddsklassificerade fysiska handlingar och lagringsmedium samt dokumentationskrav på förstöring som nu omfattar säkerhetsskyddsklassificerad fysisk handling i säkerhetsskyddsklassen konfidentiell eller högre. Emellertid gäller krav på register över säkerhetsskyddsklassificerade handlingar nu från säkerhetsskyddsklassen konfidentiell och högre. Ändringarna som framgår av 3 kap. 5, 10, 14, 21 och 23 §§ behöver dock inte tillämpas förrän den 1 januari 2023.
4 kap. Informationssäkerhet i och kring informationssystem
Säkerhetsskyddschefen beslutar om behörighetsstyrning
När det gäller behörighetsstyrning så gäller nu att det är säkerhetsskyddschefen, eller den han eller hon bestämmer, som ska besluta om att tilldela behörigheter som ger systemadministrativ åtkomst. I äldre föreskrifter har säkerhetsskyddschefen inte pekats ut för sådana beslut.
Skydd mot röjande signaler gäller endast vid viss behandling
Bestämmelsen om röjande signaler har avgränsats på så sätt att kravet inte längre gäller informationssystem där åtkomst till informationssystemet kan medföra en skada för Sveriges säkerhet som inte är obetydlig. Det är en logisk ändring eftersom skyddet mot röjande signaler utgår från konfidentialitetsperspektivet (röjandet), inte perspektiven tillgänglighet och riktighet. Kravet på åtgärder gäller alltså endast informationssystem som är avsett för att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre.
Intrångsdetektering och intrångsskydd
Kravet gällande Intrångsdetektering och intrångsskydd har utökats. Verksamhetsutövaren ska förse (alla) informationssystem som har betydelse för säkerhetskänslig verksamhet och som kommunicerar med andra informationssystem med sådant skydd. Tidigare gällde detta endast om informationssystemen behandlade säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre eller där en incident kunde medföra mer än ringa skada för Sveriges säkerhet.
Åtgärder för att upprätthålla kontinuitet
Bestämmelsen är omarbetad och delvis ny och har ersatt bestämmelsen i 2 kap. 19 § i äldre föreskrifter. Den nya bestämmelse ställer krav på att det ska finnas rutiner och funktioner för informationssystem som är skyddsvärda utifrån perspektiven riktighet och tillgänglighet och ställer visst krav på rutinernas innehåll. Informationssystemen ska vara möjliga att återställa. Följaktligen måste verksamhetsutövaren vidta åtgärder i det syftet. Den nya föreskriftens tillämpningsområde får anses ha utökats eftersom den gäller alla konsekvensnivåer. Samtidigt begränsas tillämpningsområdet eftersom systemet måste vara skyddsvärt utifrån perspektiven riktighet och tillgänglighet. Vad förändringen innebär i praktiken är därför svårt att avgöra.
5 kap. Fysisk säkerhet
Styrning av tillträde
När det gäller krav om Styrning av tillträde så har förtydligats att både avse till och inom områden, byggnader och andra anläggningar eller objekt där säkerhetskänslig verksamhet bedrivs. Att ordet inom har tillkommit gör det tydligare att en fysisk säkerhetsåtgärd kan bestå av sektionering inom ett område, osv. Därtill har tillkommit krav på rutiner för tilldelning och förändring av behörighet.
Nya bestämmelser om olämpliga föremål, obehörig avlyssning och obehörig insyn
Tre nya bestämmelser återfinns i kapitel 5 om fysisk säkerhet. De är Hantering av föremål som är olämpliga från säkerhetsskyddssynpunkt, Skydd mot obehörig avlyssning och Skydd mot obehörig insyn.
För det första ska det finnas rutiner som ska säkerställa att föremål som är olämpliga från säkerhetsskyddssynpunkt inte förs in till eller inom områden, m.m., där säkerhetskänslig verksamhet bedrivs. Det föreskrivs uttryckligen att elektronisk utrustning inte får medföras vid samtal som behandlar säkerhetsskyddsklassificerade uppgifter (oavsett säkerhetsskyddsklass, red. anm.).
För det andra måste verksamhetsutövaren godkänna vilka utrymmen som får användas för regelbundna samtal som behandlar säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre.
För det tredje ska verksamhetsutövaren besluta om vilka utrymmen som är godkända för regelbunden behandling av säkerhetsskyddsklassificerade uppgifter (oavsett säkerhetsskyddsklass, red. anm.). Dessutom ska det av beslutet framgå den högsta säkerhetsskyddsklass för de uppgifter som får behandlas i utrymmet.
6 kap. Personalsäkerhet
Utbildning som en del av säkerhetsprövningen betonas
Föreskriften om utbildning inom säkerhetsskydd har tidigare funnits i de allmänna bestämmelserna. Nu har bestämmelsen lyfts fram som portalparagraf i kapitlet om personalsäkerhet i kapitel 6, vilket är stringent eftersom det överensstämmer med systematiken i säkerhetsskyddsförordningen och eftersom tillräckliga kunskaper om säkerhetsskydd är ett delkrav för att en person ska anses behörig att delta i säkerhetskänslig verksamhet.
Säkerhetsprövning
Begreppet säkerhetsprövningsintervju har i de nya föreskrifterna ersatt uttrycket personligt samtal, vilket får anses vara en kodifiering av ett i säkerhetsskyddssammanhang etablerat begrepp.
Dokumentationskravet vid säkerhetsprövning har preciserats i de nya föreskrifterna. Det som ska dokumenteras är uppgifter som behövs för uppföljning av säkerhetsprövningen.
Registerkontroll och särskild personutredning
Ansökan
I de nya föreskrifterna är det nu förtydligat att det är den som beslutar om säkerhetsklass som ska ansöka om registerkontroll. Det innebär för myndigheter och övriga som på egen hand beslutar om registerkontroll att de undertecknar ansökan om registerkontroll på egen hand och ger in den direkt till Säkerhetspolisen. För enskilda verksamhetsutövare är det däremot i regel tillsynsmyndigheten som fattar sådana beslut (några få undantag finns). Följaktligen är det tillsynsmyndigheten som undertecknar ansökan och ger in den till Säkerhetspolisen.
Svar på ansökan om registerkontroll
Bestämmelsen är ny och innebär ett viktigt förtydligande om vem som ska motta svar på ansökan om registerkontroll om uppgifter som ska lämnas ut för säkerhetsprövning framkommit. Huvudregeln är att svar på ansökan om registerkontroll ska ske till den som ansökt om registerkontrollen. Det är den som beslutar om placering i säkerhetsklass som gör en sådan ansökan. För enskilda kan det alltså vara tillsynsmyndigheten som mottar svaret på en ansökan om registerkontroll. Om det däremot framkommer uppgifter vid registerkontrollen eller den särskilda personutredningen som ska lämnas ut vid säkerhetsprövning, ska svaret i stället lämnas till den som ska göra bedömningen enligt 3 kap. 4-4b §§ säkerhetsskyddslagen. Som huvudregel är det den som beslutar om anställning eller annat deltagande som gör en sådan bedömning, till exempel en enskild verksamhetsutövare.
7 kap. Skyldigheter när en annan aktör kan få tillgång till säkerhetskänslig verksamhet
Säkerhetsskyddsavtal med flera parter i vissa fall
En nyhet är att vid samverkan och samarbete mellan aktörer som bedriver säkerhetskänslig verksamhet kan ett säkerhetsskyddsavtal ingås mellan fler än två parter. Det är den högsta nivån på säkerhetsskyddsavtalet som ska ingås motsvarande det som hade gällt i fall parterna hade ingått bilaterala avtal. Vid dylika samarbeten får grundutredning, registerkontroll, och särskild personutredning underlåtas om personen redan är föremål för en säkerhetsprövning som omfattar samarbetet eller samverkan. Detta är ett exempel på vad som kan utgöra särskilda skäl till att göra säkerhetsprövningen mindre omfattande genom hänvisningen till 3 kap. 3 § första stycket säkerhetsskyddslagen.
En ny bestämmelse om egenkontroll av säkerhetsskydd har även införts för respektive part i flerpartsavtal.
Anmälan om samråd
Bestämmelsen är ny eftersom den nya lagbestämmelsen om samråd började tillämpas den 1 december 2021. I bestämmelsen förtydligas vad som ska utgöra samrådsunderlag.
Lagbestämmelserna om överlåtelse av säkerhetskänslig verksamhet och viss egendom infördes den 1 januari 2021. När det gäller samråd vid sådana överlåtelser finns det nu föreskrivet vad som ska utgöra samrådsunderlag även i dessa fall. Detsamma gäller vad som krävs om överlåtelsen avser aktier eller andelar i säkerhetskänslig verksamhet.
Avslutande diskussion
Säkerhetspolisens nya föreskrifter om säkerhetsskydd innehåller ändringar i alla kapitel. Vissa ändringar bör träffa alla verksamhetsutövare generellt sett, till exempel de borttagna delegationsmöjligheterna för fastställande av säkerhetsskyddsanalysen och säkerhetsskyddsplanen, men även att vissa informationssäkerhetsåtgärder omfattar fler säkerhetsskyddsklasser än tidigare. Det finns därför all anledning att se över sina interna styrdokument för att anpassa dem till de nya föreskrifterna.
Den överordnade bestämmelsen om dokumentation vid säkerhetsprövningar finns i säkerhetsskyddsförordningen (5 kap. 4 §). Hittills har det i den bestämmelsen funnits ett visst tolkningsutrymme om begreppet resultatet av säkerhetsprövningen som ska dokumenteras. Föreskrifterna tydliggör nu det.
Att verksamhetsutövaren nu ska besluta på vilket sätt identitet och behörighet ska kontrolleras för tillträde till områden, osv., där säkerhetskänslig verksamhet bedrivs ersätter tidigare bestämmelse som ställde krav på att det skulle finnas ett passersystem för identifiering och behörighetskontroll. Sammantaget har regelverket i den delen gjorts mer flexibelt.
Avslutningsvis är det välkommet med förtydligade bestämmelser om svar på registerkontroll. Tidigare haltade detta. I och med de nya föreskrifterna gäller alltså att om det framkommer uppgifter vid registerkontroll, m.m., som ska lämnas ut vid säkerhetsprövning, ska svaret lämnas till den som ska göra bedömningen även om denne inte beslutar om placering i säkerhetsklass.