En stabil och väl fungerande finansmarknad för allaEn stabil och väl fungerande finansmarknad för allaFrågor och svar
Var regleras säkerhetsskyddet?
Säkerhetsskyddet regleras bland annat i säkerhetsskyddslagen, säkerhetsskyddsförordningen och i föreskrifter från Säkerhetspolisen Försvarsmakten och Finansinspektionen.
Hur vet jag om mitt finansiella företag omfattas av säkerhetsskyddslagen?
Det är verksamhetsutövarens ansvar att göra en bedömning om någon del av verksamheten har betydelse för Sveriges säkerhet. Det görs genom en säkerhetsskyddsanalys.
Verksamhetsutövaren ska själv göra de analyser och bedömningar som behövs enligt det regelverk som gäller på säkerhetsskyddsområdet.
Vilka krav ställs på en säkerhetsskyddsanalys?
En säkerhetsskyddsanalys ska bland annat innehålla en beskrivning av den säkerhetskänsliga verksamheten, varför den är säkerhetskänslig, en identifiering av vilka skyddsvärden som finns i den, vilka skyddsnivåer den har och vilka hot som finns mot den, vilka sårbarheter den har samt vilka förmågor en antagonist har. Analysen ska också innehålla en bedömning av vilka säkerhetsskyddsåtgärder som behövs för att skydda verksamheten.
Hur förhåller sig NIS-lagstiftningen i förhållande till säkerhetsskyddslagen?
Tänk på att endast en viss del av verksamheten kan vara säkerhetskänslig. Då är det bara den delen som omfattas av säkerhetsskyddsregelverkets krav.
Samma nätverk och informationssystem kan omfattas av både NIS-lagstiftningen och säkerhetsskyddslagen. Säkerhetsskyddslagen är vidare i sin tillämpning och kan dessutom omfatta andra typer av verksamheter. I den mån de båda regelverken överlappar någon del av verksamheten ska säkerhetsskyddsregelverket tillämpas på den, och inte NIS-lagstiftningen. Mer information om tolkning och tillämpning av NIS och säkerhetsskydd finns på MSB:s webbplats.
Vad är Sveriges säkerhet i finansiell sektor?
Säkerhetskänslig verksamhet är verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Säkerhetskänslig verksamhet och säkerhetsskyddsklassificerad information kan alltså sägas vara något av det allra mest skyddsvärda vi har.
Vad som är säkerhetskänslig verksamhet kan se olika ut mellan sektorer och hos olika verksamhetsutövare. Inom finansiell sektor kan till exempel delar av betalningssystemet och verksamhet som rör finansiell stabilitet vara av betydelse för Sveriges säkerhet.
Uttrycket Sveriges säkerhet har inte definierats i lag. Regeringen har dock i flera sammanhang gett ledning för tolkning. Se Prop. 2017/18:89, Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, kap 5, särskilt s. 36-49.
I säkerhetsanalysen ska verksamhetens skyddsvärden analyseras utifrån följande huvudområden:
Sveriges yttre säkerhet innefattar vår territoriella suveränitet, försvarsförmåga, totalförsvar och vårt politiska oberoende i världssamfundet.
Sveriges inre säkerhet omfattar Sveriges demokratiska statsskick. Det kan handla om försök att ta över den politiska makten genom våld, hot eller tvång mot statsledningen, eller att systematiskt försöka hindra medborgarna från att utnyttja sina demokratiska rättigheter.
Även samhällsviktig verksamhet kan ha betydelse för Sveriges säkerhet. Om en antagonistisk handling mot en verksamhet, tjänst eller infrastruktur som upprätthåller eller säkerställer samhällsfunktioner som är nödvändiga för samhällets grundläggande behov, värden eller säkerhet, kan ge skador på nationell nivå är det en stark indikation på att det omfattas av säkerhetsskyddsregelverket.
Vad innebär det att min verksamhet är säkerhetskänslig?
Om en första säkerhetsskyddsanalys visar att verksamheten är säkerhetskänslig ska detta utan dröjsmål anmälas till Finansinspektionen på en särskild blankett.
Med utgångspunkt i säkerhetsskyddsanalysen ska verksamhetsutövaren sedan bedöma olika skyddsvärden och vidta de säkerhetsskyddsåtgärder som krävs för att uppnå ett fullgott säkerhetsskydd. Åtgärderna ska dokumenteras i en säkerhetsskyddsplan. Säkerhetsskyddet upprätthålls sedan löpande med hjälp av informationssäkerhet, fysisk säkerhet och personalsäkerhet.
Mitt företag driver säkerhetskänslig verksamhet – hur vet jag om FI är min tillsynsmyndighet?
Både finansiella och icke-finansiella företag kan omfattas av säkerhetsskyddslagen. FI:s säkerhetsskyddstillsyn omfattar området finansiella företag och motsvarande utländska företag som är etablerade i Sverige. Ibland kan fråga uppstå om tillsynsmyndighet, till exempel om ett företag driver både finansiell och annan verksamhet samtidigt.
Samtliga tillsynsmyndigheter och deras tillsynsområden finns förtecknade i Säkerhetsskyddsförordningen (2021:955) 8 kap 1 §. Vid tveksamhet eller frågor om tillsynsmyndigheter är ni välkomna att höra av er till FI.
Hur vet jag hur jag ska bedöma skyddsvärden och konsekvensnivåer?
En noggrant utförd och kontinuerligt uppdaterad säkerhetsskyddsanalys kan spara mycket tid och extraarbete för verksamhetsutövaren. En analys och bedömning av skyddsvärden ska avgöra om något är av betydelse för Sveriges säkerhet (se ovan om Sveriges säkerhet), och ska indelas i olika konsekvensnivåer utifrån hur stor skada en antagonistisk handling mot dessa skyddsvärden kan få.
Förutom betydelsen av att skydda verksamhet och information av betydelse för Sveriges säkerhet är det viktigt att inte slarva med olika bedömningar. Det gäller samtidigt att vara försiktig med att vara för vid i sina bedömningar av skyddsvärden eller sätta för höga konsekvensnivåer för att "vara på den säkra sidan". En sådan tillämpning kan nämligen inkräkta på andra viktiga värden, till exempel offentlighetsprincipen eller den personliga integriteten. Därför är det viktigt att både verksamhet och information ringas in och klassificeras på ett korrekt sätt, utifrån en tillräckligt bra genomförd säkerhetsskyddsanalys.
Vad är en DAF?
En DAF är en beskrivning av de antagonistiska förmågor som vissa säkerhetsskyddsåtgärder ska dimensioneras utifrån. Verksamhetsutövaren ska genom att använda de förmågor som beskrivs i en DAF identifiera sårbarheter och bedöma vilka säkerhetsskyddsåtgärder som är nödvändiga för att säkerställa ett fullgott säkerhetsskydd.
Det måste göras oavsett om detta motsvaras av ett identifierat säkerhetshot mot den säkerhetskänsliga verksamheten eller inte. En DAF utgör därför ett viktigt underlag för att långsiktigt dimensionera säkerhetsskyddet, främst i fråga om fysisk säkerhet men även skydd mot röjande signaler (RÖS).
Det är säkerhetspolisen som tillhandahåller en DAF till verksamhetsutövaren. En sådan ansöker verksamhetsutövaren om på en särskild blankett.
Mer information om DAF finns på säkerhetspolisens webbplats:
Vad är signalskyddstjänst och vem tillhandahåller det?
Med signalskyddstjänst menas kryptografiska funktioner som är avsedda för att skydda säkerhetskänslig verksamhet och information. Säkerhetsskyddsregelverket innehåller krav på att använda signalskyddssystem då säkerhetsskyddsklassificerade uppgifter ska kommuniceras.
För finansiella företag är det MSB som beslutar om signalskyddssystem efter en prövning. FRA Kryptoservice tilldelar därefter signalskyddssystemet.
Mer information finns på Försvarsmaktens och MSB:s webbplatser:
Senast granskad: 2023-08-16
