Detta skapar en automatisk översättning med Google Translate. Försvarets materielverk tar inte ansvar för eventuella fel.

Du behöver godkänna funktionella kakor för att använda den här funktionen.

För leverantörer och kunder

Säkerhetsskydd

FMV:s leverantörer är viktiga för Sveriges försvar

På senare tid har hotet mot Sveriges säkerhet ökat. Säkerhetshotet har breddats, blivit mer komplext och svårförutsägbart. Hotbilden påverkar såväl FMV, de leverantörer som deltar i eller på annat sätt kan påverka FMV:s säkerhetskänsliga verksamhet och försvarsindustrin i stort.

Ett starkt säkerhetsskydd är en förutsättning för den fortsatta tillväxten av Sveriges försvar. Det är därför av stor betydelse att FMV:s leverantörer och underleverantörer utvecklar och stärker sitt säkerhetsskydd i takt med den försämrade omvärldsutvecklingen.

De geopolitiska förändringarna och det försämrade säkerhetspolitiska omvärldsläget påverkar den europeiska säkerhetsordningen och Sveriges säkerhet. Säkerhetshotet har på senare tid ökat samt blivit mer komplex och svårförutsägbar. Hotbilden påverkar såväl FMV, de leverantörer som deltar i eller på annat sätt kan påverka den säkerhetskänsliga verksamheten och försvarsindustrin i stort.

Omvärldsläget och det svenska försvarets tillväxt medför ökat underrättelsehot från främmande makt. Olovlig underrättelseinhämtning, cyberangrepp och andra sätt att inhämta information och förbereda eller genomföra sabotage mot FMV:s och myndighetens leverantörers verksamhet har ökat och kommer troligtvis fortsätta öka.

Ett starkt säkerhetsskydd är en förutsättning för den fortsatta tillväxten av Sveriges försvar. För att möta det ökade säkerhetshotet så behöver FMV:s leverantörer och underleverantörer kontinuerligt utveckla och stärka sitt säkerhetsskyddsarbete.

Det är också viktigt att du skyndsamt rapporterar säkerhetshotande händelser eller förhållanden som kan påverka säkerhetsskyddet till FMV (security@fmv.se).

FMV:s brev till säkerhetsskyddschefer hos leverantörer och underleverantörer som FMV ingått säkerhetsskyddsavtal med:

Skydd av säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter

Säkerhetsskydd syftar till att skydda säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. Med säkerhetskänslig verksamhet avses verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

Säkerhetsskydd syftar också till att skydda säkerhetsskyddsklassificerade uppgifter. Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen, eller som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig.

Säkerhetsskyddsåtgärder

Säkerhetsskydd utgörs av ett system av samverkande säkerhetsskyddsåtgärder. Varje åtgärd uppfyller minst en av följande fyra grundläggande funktioner:

  • Förebygga
  • Upptäcka
  • Fördröja (eller i bästa fall förhindra)
  • Hantera säkerhetshotande verksamhet

Säkerhetsskyddsåtgärderna är indelade i tre huvudområden – informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Informationssäkerhet handlar om att skydda säkerhetsskyddsklassificerade uppgifter från att obehörigen röjas, ändras, göras otillgängliga eller förstöras. Informationssäkerhet syftar också till att förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet. Det handlar då framför allt om skyddsåtgärder för att tillgodose behov av tillgänglighet eller riktighet.

Fysisk säkerhet handlar om att förebygga att obehöriga personer får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs. Fysisk säkerhet innefattar också skyddsåtgärder för att förebygga skadlig inverkan på sådana områden som kan orsakas utan att någon obehörig har berett sig tillträde till platsen. Det skulle exempelvis kunna röra sig om åtgärder för att skydda en byggnad eller objekt mot obemannade luftfartyg, så kallade drönare.

Personalsäkerhet handlar om att förebygga att personer som inte är pålitliga från säkerhetssynpunkt får tillgång till säkerhetsskyddsklassificerade uppgifter eller av någon annan anledning deltar i säkerhetskänslig verksamhet, till exempel verksamhet som bedrivs vid ett skyddsobjekt enligt skyddslagen. Personalsäkerhet innefattar också en skyldighet för verksamhetsutövaren att säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.

När FMV skall genomföra en upphandling och/eller ingå ett avtal om varor, tjänster eller byggentreprenader skall FMV enligt 2 kap 6 § säkerhetsskyddslagen (2018:585) se till att det i ett skriftligt säkerhetsskyddsavtal anges hur kraven på säkerhetsskydd skall tillgodoses av leverantören om det i upphandlingen förekommer säkerhetsskyddsklassificerade uppgifter, eller om upphandlingen i övrigt avser eller ger leverantören tillgång till säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Syftet med säkerhetsskyddsavtalet är att reglera skyddet av säkerhetsskyddsklassificerad uppgift och skyddet av den säkerhetskänsliga verksamheten i övrigt, oavsett hur och var uppdraget skall utföras.

FMV ställer höga säkerhetsskyddskrav på leverantören, oavsett om det gäller en huvudleverantör eller en anlitad underleverantör.

FMV prövar i varje särskilt fall vilket avtal som behövs för verksamheten.

Det finns tre typer av säkerhetsskyddsavtal:

Nivå 1:
Företaget får arbeta med och förvara säkerhetsskyddsklassificerad uppgift i egna, av FMV godkända lokaler.

Nivå 2:
Företaget får arbeta med säkerhetsskyddsklassificerad uppgift i FMV:s lokaler eller i lokaler anvisade av FMV.

Nivå 3:
Företaget skall inte arbeta med säkerhetsskyddsklassificerade uppgifter, men verksamhetens art eller omfattning kräver att dess personal skall vara registerkontrollerad och placerad i säkerhetsklass.

Kontroll

Enligt 2 kap 6 § Säkerhetsskyddslagen (2018:585) samt säkerhetsskyddsavtalet har FMV rätt och skyldighet att kontrollera ett företags säkerhetsskyddsarbete. För företag med avtal i nivå 1 innebär detta ett så kallat förstagångsbesök innan avtalet tecknas, men även återkommande kontroller, till exempel genom besök. FMV skall även kontrollera säkerhetsskyddet hos företag med avtal i nivå 2 och 3.

Industrisäkerhetsskyddsmanualen

Industrisäkerhetsskyddsmanualen (ISM) är det regelverk som tillsammans med lag, förordning och säkerhetsskyddsavtal reglerar verksamheten hos ett företag med säkerhetsskyddsavtal. Den senaste utgåvan av ISM utkom 2022. 

Utbildning

Ett av de formella kraven för att ett företag skall få teckna säkerhetsskyddsavtal med FMV är att säkerhetsskyddschefen snarast genomgår FMV:s utbildning för säkerhetsskyddschefer i försvarsindustrin. Läs mer under rubriken Säkerhetsskyddsutbildning på denna webbplats. Utbildningen är endast öppen för de företag med vilka FMV antingen har säkerhetsskyddsavtal eller avser att teckna sådant avtal.

Dokument

På vår webbplats finner du FMV:s mallar för säkerhetsskyddsavtal i de olika nivåerna. De finns där som ren information. Då ditt företag skall teckna säkerhetsskyddsavtal med FMV får du avtalen skickade till dig från FMV Säkerhetsskydd. Du finner även Industrisäkerhetsskyddsmanualen samt andra relevanta dokument.

Utbildning för säkerhetsskyddschefer i försvarsindustrin (CFöind)

Utbildningen riktar sig till anställda säkerhetsskyddschefer vid företag som FMV har tecknat säkerhetsskyddsavtal med. För att bli antagen till kursen krävs att processen för att skriva ett säkerhetsskyddsavtal har startats.

Kursinformation

Utbildningstillfällen 2023

31 maj 2023, kl 09.00-17.00
Plats: COOR Konferens, Västgötagatan 5, Stockholm
Sista anmälningsdag 16 april 2023
FULLBELAGD och köordning kommer att användas vid avhopp.

24 augusti 2023, kl 09.00-17.00
Plats: COOR Konferens, Västgötagatan 5, Stockholm
FULLBELAGD och köordning kommer att användas vid avhopp.

21 september 2023, kl 09.00-17.00
Plats: COOR Konferens, Västgötagatan 5, Stockholm
Sista anmälningsdag 5 september 2023

19 oktober 2023, kl 09.00-17.00
Plats: COOR Konferens, Västgötagatan 5, Stockholm
Sista anmälningsdag 4 oktober 2023

7 december 2023, kl 09.00-17.00
Plats: COOR Konferens, Västgötagatan 5, Stockholm
Sista anmälningsdag 21 november 2023

Behörighetskrav

För att få tillträde till FMV:s utbildning ska du ha genomfört Försvarshögskolans webbutbildning Grundläggande säkerhetsskyddsutbildning med godkänt resultat. Ett undertecknat deltagarintyg ska bifogas kursanmälan.

Webbutbildningen är avgiftsfri och beräknas ta ca 45 minuter att genomföra.

FHS grundläggande säkerhetsskyddsutbildning

Anmälan till utbildning

Anmälan till FMV utbildning görs genom att fylla i blanketten; Anmälan till utbildning i säkerhetsskydd (se nedan) och skicka den via e-post, tillsammans med ett undertecknat och inskannat FHS deltagarintyg, till security@fmv.se

Anmälan till utbildning i säkerhetsskydd 

Säkerhetsprövningsintervju

FMV erbjuder en utbildning i säkerhetsprövningsintervju (SPI) i syfte att företagen ska kunna uppfylla kraven enligt FMV:s  industrisäkerhetskyddsmanual.

Utbildningen omfattar cirka 1,5 timme och genomförs som videokonferens. Kurstillfällen och mer information se nedan.

Kurstillfällen:

  • 2023-01-18 kl 1000-1200
  • 2023-02-22 kl 1000-1200
  • 2023-03-22 kl 1000-1200
  • 2023-04-26 kl 1000-1200
  • 2023-05-24 kl 1000-1200
  • 2023-06-14 kl 1000-1200

Kursinformation SPI 

Frågor

Om du har frågor kontakta Frida Birgersdotter-Willners, tfn 08-782 41 22, eller e-post till security@fmv.se.

Den person som använder eller på annat sätt hanterar signalskyddsmateriel, signalskyddsnycklar, aktiva kort eller innehar signalskyddsbefattning ska, med godkänt resultat, ha genomgått nödvändig utbildning i signalskydd (GK Signalskydd). Varje myndighet är skyldiga att se till att den personalen som omfattas av ovanstående ges nödvändig utbildning.

GK Signalskydd

Bakgrund

Utbildningen genomförs enligt Försvarsmaktens föreskrifter om signalskyddstjänsten inom totalförsvaret, FFS 2021:1: 1 kap 14§ Krav på utbildning och behörighet.

Endast den som med godkänt resultat har genomgått nödvändig utbildning i signalskydd får använda eller på annat sätt hantera signalskyddsmateriel, signalskyddsnycklar, aktiva kort eller inneha signalskyddsbefattning. Varje myndighet ska se till att personalen ges nödvändig utbildning.

Allmänt

Utbildningen är kostnadsfri och avsedd för de personer som kommer att hantera signalskyddsmateriel och/eller signalskyddsnycklar inom FMV eller vid samverkande företag. Personal som avses hantera hemlig signalskyddsmateriel och/eller hemliga signalskyddsnycklar ska vara inplacerad i lägst säkerhetsklass 3.

Behörighet

Utbildningen ger behörighet att hantera signalskyddsmateriel och signalskyddsnycklar (efter inplacering i lägst säkerhetsklass 3). Utbildningen är också grundläggande för att ha behörighet att genomgå övriga systemutbildningar vid Totalförsvarets Signalskyddsskola (TSS) och FMV.

Signalskyddschefsutbildning Försvarsindustrin

Enligt signalskyddsavtalet med FMV ska varje företag som hanterar signalskyddsmateriel och/eller signalskyddsnycklar ha en utbildad signalskyddschef. Denna utbildning är obligatorisk för de företag som FMV tecknat signalskyddsavtal med om inte FMV Signalskyddschef meddelat annat.

FMV Signalskyddschefsmöte Försvarsindustrin

Minst vartannat år ska signalskyddschefer inom försvarsindustrin deltaga vid FMV Signalskyddsmöte Försvarsindustrin för att upprätthålla sin behörighet.

Systemutbildningar i FMV regi

Grundkravet för att få genomföra systemutbildningar är genomförd GK Signalskydd.

MGSI (kryptoPC), MGL (kryptotelefon), MGM (kryptofax), MGFI användarutbildning (mobila talkrypton), PGBI (filkrypto) genomförs vid behov och resurstillgång.

KURIR

Kryptoadministratörsutbildning för system KURIR (f.d. KGAI) genomförs på Tre Vapen av FMV Signalskydd.

Utbildningstillfällen 2022 i FMV:s regi (pdf)

Signalskyddsutbildning i TSS regi

Grundkravet för att få genomföra systemutbildningar är genomförd GK Signalskydd 1.

Systemutbildningar genomförs på TSS i Enköping. Utbildningskatalog återfinns https://www.informationssakerhet.se/TSS. TSS kräver att all personal som ska genomföra utbildning i TSS regi ska vara säkerhetsprövad enligt H TST Gunder kapitel 3.

Anmälan (signalskyddsutbildningar)

Anmälan till samtliga signalskyddsutbildningar ska göras på avsedd anmälningsblankett (finns till höger på sidan) och ska vara FMV Signalskydd tillhanda senast tre veckor före kurstillfälle (se sista anmälningsdatum i listan ovan). För sista anmälningsdag till TSS:s kurser se TSS kurskatalog.

FMV Signalskydd
115 88 Stockholm

e-post: comsec@fmv.se

Vid 6 eller färre inkomna anmälningar ställs utbildningstillfället in.

FMV kan i egenskap av nationell industrisäkerhetsmyndighet (DSA, Designated Security Authority) utfärda så kallade säkerhetsintyg enligt 5. kap Säkerhetsskyddslagen (2018:585).

FMV kan utfärda säkerhetsintyg antingen efter ansökan från en stat eller en mellanfolklig organisation eller från ett företag med säte i Sverige. Det finns två typer av säkerhetsintyg:

FSC

FSC, Facility Security Clearance, är ett intyg som talar om att ett företag har ett säkerhetsskyddsavtal i nivå 1 med FMV och därmed får hantera och förvara säkerhetsskyddsklassificerad uppgift i sina, av FMV godkända, lokaler. Intyget är giltigt som längst ett år i taget.

PSC

PSC, Personal Security Clearance, är ett intyg som talar om att en person är behörig till säkerhetsskyddsklassificerad uppgift enligt 2 kap 2 § Säkerhetsskyddsförordningen (2021:955). För att FMV skall kunna utfärda ett sådant intyg måste företaget ha ett säkerhetsskyddsavtal i lägst nivå 2 med FMV och personen vara placerad i lägst säkerhetsklass 3, beroende på aktuell säkerhetsskyddsklass. Intyget är giltigt som längst ett år i taget.

Utfärdande av säkerhetsintyg

Ansökan från utlandet hanteras mellan FMV (DSA) och motpartens ansvariga säkerhetsmyndighet (National Security Authority eller Designated Security Authority)

Ansökan om säkerhetsintyg från företag i utlandet, stat eller mellanfolklig organisation

Då ett företag i utlandet, stat eller mellanfolklig organisation har behov av säkerhetsintyg för ett företag i Sverige och/eller dess personal, skall man alltid vända sig till sin ansvariga säkerhetsmyndighet, som kontaktar FMV med en ansökan om säkerhetsintyg.

Ansökan om säkerhetsintyg från företag i Sverige (utan säkerhetsskyddsavtal med FMV)

Då ett företag i Sverige önskar delta i en verksamhet, som av annan stat eller mellanfolklig organisation bedöms vara i behov av säkerhetsskydd, kan företaget ansöka om säkerhetsintyg hos FMV. Ansökan skall minst innehålla följande uppgifter:

  • Bakgrund till ansökan med beskrivning av omfattning och syfte
  • Aktuell informationssäkerhetsklass (säkerhetsskyddsklass)
  • Start- och sluttidpunkt för den verksamhet som intyget skall avse
  • Sökande företags organisationsnummer och fullständiga kontaktuppgifter
  • Kontaktuppgifter till företagets säkerhetschef
  • En kopia av företagets registreringsbevis, ej äldre än tre månader. För företag som inte är registrerade hos Bolagsverket accepteras utdrag ur Skatteverkets register som utvisar företagets styrelse och verksamhet.
  • Samtycke till registerkontroll från företagets VD enligt mall på FMV:s webbplats.

Ansökan om säkerhetsintyg från företag i Sverige (med säkerhetsskyddsavtal med FMV)

Då ett företag i Sverige önskar delta i en verksamhet, som av annan stat eller mellanfolklig organisation bedöms vara i behov av säkerhetsskydd, och företaget redan har ett säkerhetsskyddsavtal med FMV, kan företaget ansöka om säkerhetsintyg hos FMV. Ansökan skall minst innehålla följande uppgifter:

  • Bakgrund till ansökan med beskrivning av omfattning och syfte
  • Aktuell informationssäkerhetsklass (säkerhetsskyddsklass)
  • Start- och sluttidpunkt för den verksamhet som intyget skall avse
  • Sökande företags organisationsnummer och fullständiga kontaktuppgifter
  • Kontaktuppgifter till företagets säkerhetschef

Distribution

Ansökan insänds till FMV Säkerhetsskydd, 115 88 Stockholm. Om FMV behöver mer information kommer företaget att kontaktas skriftligen. När FMV avslutat beredningen av ansökan fattar myndigheten beslut om säkerhetsintyg kan utfärdas och inleder därefter, vid behov, processen för tecknande av säkerhetsskyddsavtal.

Verksamhetsutövare som bedriver säkerhetskänslig verksamhet inom området försvarsmateriel

Den som bedriver säkerhetskänslig verksamhet ska säkerställa att verksamheten ges ett balanserat och ändamålsenligt säkerhetsskydd. Här kan du läsa mer om säkerhetsskydd, försvarsmateriel och verksamhetsutövarens skyldigheter.

1. Om säkerhetsskydd

Skydd av säkerhetskänslig verksamhet och säkerhetsskyddsklassificerade uppgifter

Säkerhetsskydd syftar till att skydda säkerhetskänslig verksamhet mot spioneri, sabotage, terroristbrott och andra brott som kan hota verksamheten. Med säkerhetskänslig verksamhet avses verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd.

Säkerhetsskydd syftar också till att skydda säkerhetsskyddsklassificerade uppgifter. Med säkerhetsskyddsklassificerade uppgifter avses uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av sekretess enligt offentlighets- och sekretesslagen, eller som skulle ha omfattats av sekretess enligt den lagen om den hade varit tillämplig.

Den som bedriver säkerhetskänslig verksamhet (verksamhetsutövaren) ansvarar för att den säkerhetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna ges ett ändamålsenligt säkerhetsskydd.

Säkerhetsskyddsåtgärder

Säkerhetsskydd utgörs av ett system av samverkande säkerhetsskyddsåtgärder. Varje åtgärd uppfyller minst en av följande fyra grundläggande funktioner:

  • Förebygga
  • Upptäcka
  • Fördröja (eller i bästa fall förhindra)
  • Hantera säkerhetshotande verksamhet

Säkerhetsskyddsåtgärderna är indelade i tre huvudområden – informationssäkerhet, fysisk säkerhet och personalsäkerhet.

Informationssäkerhet handlar om att skydda säkerhetsskyddsklassificerade uppgifter från att obehörigen röjas, ändras, göras otillgängliga eller förstöras. Informationssäkerhet syftar också till att förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet. Det handlar då framför allt om skyddsåtgärder för att tillgodose behov av tillgänglighet eller riktighet.

Fysisk säkerhet handlar om att förebygga att obehöriga personer får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs. Fysisk säkerhet innefattar också skyddsåtgärder för att förebygga skadlig inverkan på sådana områden som kan orsakas utan att någon obehörig har berett sig tillträde till platsen. Det skulle exempelvis kunna röra sig om åtgärder för att skydda en byggnad eller objekt mot obemannade luftfartyg, så kallade drönare.

Personalsäkerhet handlar om att förebygga att personer som inte är pålitliga från säkerhetssynpunkt får tillgång till säkerhetsskyddsklassificerade uppgifter eller av någon annan anledning deltar i säkerhetskänslig verksamhet, till exempel verksamhet som bedrivs vid ett skyddsobjekt enligt skyddslagen. Personalsäkerhet innefattar också en skyldighet för verksamhetsutövaren att säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.

2. Om försvarsmateriel

Med försvarsmateriel avses främst produkter inkl. programvara och teknik samt tjänster som omfattas av:

  • Lagen (1992:1300) om krigsmateriel. I det ingår materiel som är utformad för militärt bruk och som enligt regeringens föreskrifter utgör krigsmateriel samt tekniskt stöd avseende krigsmateriel som enligt regeringens föreskrifter utgör tekniskt bistånd.
  • Förordningen (1992:1303) om krigsmateriel med tillhörande bilaga samt sådan materiel och sådant tekniskt bistånd som anges i bilagan till förordningen. Materielen delas in i krigsmateriel för strid och övrig krigsmateriel.
  • Rådets förordning (EG) nr 428/2009 med tillhörande uppdateringar om produkter inkl. programvara och teknik med dubbla användningsområden som kan användas för militära ändamål.

3. Hur vet en verksamhetsutövare om denna bedriver säkerhetskänslig verksamhet?

Både offentliga och enskilda verksamhetsutövare kan bedriva säkerhetskänslig verksamhet. Det innebär att såväl myndigheter, regioner, kommuner, näringsliv och andra organisationer kan bedriva verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett internationellt säkerhetsskyddsåtagande.

Det är respektive verksamhetsutövare som ansvarar för att bedöma om man bedriver säkerhetskänslig verksamhet eller inte. Bedömningen bör ta sin utgångspunkt i en säkerhetsskyddsanalys.

FMV rekommenderar verksamhetsutövare som är osäkra på huruvida man bedriver säkerhetskänslig verksamhet att göra en förenklad säkerhetsskyddsanalys. Det går att läsa mer om säkerhetsskyddsanalys i Försvarsmaktens reglemente för säkerhetstjänst (R SÄK 2021) och i Säkerhetspolisens vägledning säkerhetsskyddsanalys. Ni kan även höra av er till FMV:s säkerhetsskyddsavdelning, security@fmv.se, så kan vi stödja i diskussionen – tänk dock på att inte skicka uppgifter som omfattas av sekretess eller som av annan anledning är skyddsvärda via e-post.

4. Verksamhetsutövarens skyldigheter

Verksamhetsutövare som bedriver säkerhetskänslig verksamhet ansvarar för att verksamheten följer bestämmelserna i säkerhetsskyddslagen, säkerhetsskyddsförordningen och de föreskrifter som har meddelats i anslutning till lagen eller förordningen samt att verksamheten ges ett ändamålsenligt säkerhetsskydd i övrigt. Nedan beskrivs några av de skyldigheter som ankommer på verksamhetsutövaren.

Säkerhetsskyddsanalys och säkerhetsskyddsplan

Den som bedriver säkerhetskänslig verksamhet är skyldig att göra en säkerhetsskyddsanalys. Säkerhetsskyddsanalys är en benämning både för det analysarbete som görs för att identifiera vilken verksamhet och vilka uppgifter som behöver omgärdas av säkerhetsskydd och för den sammanställning som är resultatet av analysarbetet. Genom säkerhetsskyddanalysarbetet ska verksamhetsutövaren identifiera vilken säkerhetskänslig verksamhet som bedrivs och vilka säkerhetsskyddsklassificerade uppgifter som verksamheten hanterar. Verksamhetsutövaren ska också identifiera och bedöma hot och sårbarheter kopplade till den säkerhetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna. Därtill ska verksamhetsutövaren bedöma vilka säkerhetsskyddsåtgärder som är nödvändiga att vidta för att skapa ett balanserat och ändamålsenligt säkerhetsskydd. Resultatet ska dokumenteras i en säkerhetsskyddsanalys.

Med utgångspunkt i säkerhetsskyddsanalysen ska verksamhetsutövaren planera vilka konkreta säkerhetsskyddsåtgärder som behövs med hänsyn till verksamhetens art och omfattning, förekomst av säkerhetsskyddsklassificerade uppgifter och övriga omständigheter. I planeringsarbetet ska verksamhetsutövaren tydliggöra vilka säkerhetsskyddsåtgärder som ska vidtas, vem som har ansvaret och när respektive åtgärd ska vara genomförd. Verksamhetsutövaren bör även klargöra behovet av resurser, organisation, utbildning och övning. Det bör även kartläggas vilka åtgärder som behöver vidtas inför, under eller efter sådana avbrott och störningar i den säkerhetskänsliga verksamheten som kan medföra mer än ringa skada för Sveriges säkerhet. Resultatet ska dokumenteras i en säkerhetsskyddsplan.

Det går att läsa mer om säkerhetsskyddsanalys och säkerhetsskyddsplan i Försvarsmaktens reglemente för säkerhetstjänst (R SÄK 2021) och i Säkerhetspolisens vägledning säkerhetsskyddsanalys.

Anmälningsskyldighet

Verksamhetsutövare som bedriver säkerhetskänslig verksamhet inom området försvarsmateriel ska utan dröjsmål anmäla detta till FMV på anvisad blankett (Anmälan av säkerhetskänslig verksamhet).

Verksamhetsutövaren ska även skyndsamt anmäla när den säkerhetskänsliga verksamheten upphör till FMV på samma blankett som ovan.

Blanketterna ska skickas som värdeförsändelse till:

Att: Säkerhetsskyddsavdelningen
FMV
115 88 Stockholm

Observera att fullgjord anmälningsplikt inte är en förutsättning för att FMV ska kunna utöva tillsyn. Även om anmälningskravet inte uppfyllts så kan FMV utöva tillsyn mot en aktör som myndigheten bedömer omfattas av säkerhetsskyddslagen.

Övriga skyldigheter

Nedan anges några av de skyldigheter som ankommer på verksamhetsutövare som bedriver säkerhetskänslig verksamhet (inom området försvarsmateriel).

Verksamhetsutövaren ansvarar bland annat för att:

  • Genom säkerhetsskyddsanalys utreda om verksamheten är säkerhetskänslig och dokumentera verksamhetens behov av säkerhetsskydd.
  • Med utgångspunkt i säkerhetsskyddsanalysen planera och vidta de säkerhetsskyddsåtgärder som behövs.
  • Utan dröjsmål anmäla till tillsynsmyndigheten (FMV) att verksamhetsutövaren bedriver säkerhetskänslig verksamhet. Detsamma gäller när verksamheten upphör. Anmälan ska göras på blankett Anmälan av säkerhetskänslig verksamhet respektive blankett Anmälan att säkerhetskänslig verksamhet upphör. Anmälan ska skickas som värdeförsändelse till FMV.
  • Ansöka till tillsynsmyndigheten (FMV) om beslut om placering i säkerhetsklass för anställning eller annat deltagande i den egna verksamheten och för anställning eller uppdrag hos en leverantör eller annan aktör som verksamhetsutövaren ingått säkerhetsskyddsavtal med.
  • Anmäla till tillsynsmyndigheten (FMV) om verksamhetsutövaren har för avsikt att ingå ett säkerhetsskyddsavtal med en leverantör eller annan aktör samt anmäla när ett säkerhetsskyddsavtal har ingåtts och när ett säkerhetsskyddsavtal har upphört att gälla.
  • Inleda samråd med tillsynsmyndigheten (FMV) innan verksamhetsutövaren inleder ett planerat förfarande (genomföra en upphandling, ingå ett avtal, inleda en samverkan eller samarbete) som kräver säkerhetsskyddsavtal och som innebär att den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
  • Inleda samråd med tillsynsmyndigheten (FMV) inför en planerad överlåtelse av säkerhetskänslig verksamhet eller lös egendom som har betydelse för Sveriges säkerhet eller ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. Skyldigheten att samråda gäller även inför överlåtelse av aktier eller andelar i säkerhetskänslig verksamhet, dock inte aktier i aktiebolag som är publika enligt aktiebolagslagen.
  • Inleda samråd med Försvarsmakten innan ett informationssystem som kan förutses komma att behandla säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre tas i drift eller i väsentliga avseenden förändras. Skyldigheten att samråda gäller även för andra informationssystem om obehörig åtkomst kan medföra skada för Sveriges säkerhet som inte är obetydlig.
  • Anmäla till Säkerhetspolisen vid säkerhetshotande händelser eller verksamhet. Verksamhetsutövaren bör även informera FMV om händelsen.
  • Kontrollera säkerhetsskyddet i den egna verksamheten.
  • Kontrollera att leverantörer och andra aktörer som verksamhetsutövaren ingått säkerhetsskyddsavtal med följer kraven i avtalet.

Observera att uppställningen ovan inte är uttömmande och att det ankommer på verksamhetsutövaren att följa samtliga bestämmelser som framgår av säkerhetsskyddslagen, säkerhetsskyddsförordningen och de föreskrifter som har meddelats i anslutning till lagen eller förordningen.

FMV är tillsynsmyndighet för säkerhetsskydd inom området försvarsmateriel

Försvarets materielverk (FMV) är tillsynsmyndighet för verksamhetsutövare som bedriver säkerhetskänslig verksamhet inom området försvarsmateriel. Här kan du läsa mer om FMV:s tillsynsuppdrag och de övriga tillsynsmyndigheterna.

1. FMV:s tillsynsuppdrag

FMV har flera uppgifter kopplade till uppdraget att vara tillsynsmyndighet inom säkerhetsskyddsområdet.

FMV ska bland annat:

  • Utöva tillsyn över verksamhetsutövare som bedriver säkerhetskänslig verksamhet inom området försvarsmateriel.
  • Utfärda föreskrifter om verkställigheten av säkerhetsskyddslagen i vissa avseenden.
  • Ge stöd och råd till verksamhetsutövare som bedriver säkerhetskänslig verksamhet inom området försvarsmateriel.
  • Besluta om placering i säkerhetsklass för anställningar och annat deltagande hos verksamhetsutövare som bedriver säkerhetskänsliga verksamhet inom området försvarsmateriel.
  • Vara samrådsinstans inför vissa förfaranden som kräver säkerhetsskyddsavtal och inför överlåtelse av säkerhetskänslig verksamhet inom området försvarsmateriel.

Nedan beskrivs dessa uppgifter lite mer ingående.

FMV ska utöva tillsyn

FMV är tillsynsmyndighet för verksamhetsutövare som bedriver säkerhetskänslig verksamhet inom området försvarsmateriel. FMV ska genom att utöva tillsyn kontrollera att verksamhetsutövarna följer säkerhetsskyddslagen, säkerhetsskyddsförordningen och de föreskrifter som har meddelats i anslutning till lagen eller förordningen.

FMV får även utöva tillsyn hos leverantörer och andra aktörer som en verksamhetsutövare har ingått säkerhetsskyddsavtal med. Syftet med tillsynen är i de fallet att kontroller att verksamhetsutövaren uppfyller säkerhetsskyddslagens krav på säkerhetsskydd i sin verksamhet (som leverantören eller den andra aktören fått tillgång till). FMV kan granska hur säkerhetsskyddsavtalet har upprätthållits och vilka åtgärder som verksamhetsutövaren har vidtagit för att följa upp och kontrollera hur den säkerhetskänsliga verksamheten har skyddats.

För att FMV ska kunna kontrollera att verksamhetsutövare uppfyller säkerhetsskyddslagen krav på säkerhetsskydd så behöver FMV kunna inhämta information från den som står under tillsyn. Verksamhetsutövare är skyldiga att på begäran från FMV lämna den information som behövs för tillsynen. FMV har även rätt att i den omfattning det behövs för tillsynen få tillträde till områden, lokaler och andra utrymmen, dock inte bostäder, som används i verksamhet som omfattas av tillsyn. FMV får förelägga den som står under tillsyn att tillhandahålla information och att ge tillträde till lokaler och liknande. Ett sådant föreläggande får förenas med vite. FMV kan även begära handräckning av Kronofogdemyndigheten för att genomföra tillsynsåtgärder.

FMV har möjlighet att ingripa mot verksamhetsutövare som inte uppfyller säkerhetsskyddslagens krav, bl.a. genom att besluta om åtgärdsförelägganden med vite och sanktionsavgift upp till 50 miljoner kronor.

FMV får utfärda föreskrifter

FMV får meddela föreskrifter som kompletterar Försvarsmaktens föreskrifter om säkerhetsskydd för verksamhetsutövare som bedriver säkerhetskänslig verksamhet inom området försvarsmateriel. Vidare får FMV meddela föreskrifter om verkställigheten av säkerhetsskyddslagen i fråga om utfärdande av säkerhetsintyg för leverantörer med säte i Sverige.

FMV har i nuläget inte meddelat några föreskrifter inom dessa områden.

FMV ska ge stöd och råd

FMV ska stödja verksamhetsutövare som bedriver säkerhetskänslig verksamhet inom området försvarsmateriel. Som följer av förarbetena till säkerhetsskyddslagen innebär det inte att besvara frågor om vad som ska göras i specifika fall, utan handlar snarare om att informera om innebörden av den aktuella regleringen och hur den ska tolkas. Det kan exempelvis ske genom att meddela föreskrifter och rekommendationer som underlätta verksamhetsutövares arbete med att bedöma om de omfattas av säkerhetsskyddslagen. Det kan i vissa fall även handla om rådgivning i form av dialog i samband med exempelvis samrådsförfarande. 

FMV ska besluta om placering i säkerhetsklass

Om en verksamhetsutövare som bedriver säkerhetskänslig verksamhet inom området försvarsmateriel har behov att placera en anställning eller något annat deltagande i säkerhetsklass, ska verksamhetsutövaren skicka en ansökan om detta till FMV på anvisad blankett (Ansökan om placering av befattning eller annat deltagande i säkerhetsklass).

Ansökan ska skickas som värdeförsändelse till:

Att: Säkerhetsskyddsavdelningen
FMV
115 88 Stockholm

FMV beslutar om placering i säkerhetsklass 2 och 3 i fråga om anställning eller något annat deltagande hos verksamhetsutövaren och i fråga om anställning eller uppdrag hos en aktör som verksamhetsutövaren har ingått säkerhetsskyddsavtal med. För anställning eller annat deltagande som kräver placering i säkerhetsklass 1 så ska FMV begära att regeringen beslutar om en sådan placering.

FMV är samrådsinstans inför vissa förfaranden som kräver säkerhetsskyddsavtal

Den som bedriver säkerhetskänslig verksamhet inom området försvarsmateriel ska samråda med FMV innan verksamhetsutövaren inleder ett förfarande (dvs. genomför en upphandling, ingår ett avtal, inleder en samverkan eller samarbete) som kräver säkerhetsskyddsavtal och som innebär att den andra aktören kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.

Om verksamhetsutövaren inte samråder med FMV så får myndigheten inleda samrådet.

FMV får förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen, säkerhetsskyddsförordningen och de föreskrifter som meddelats i anslutning till lagen eller förordningen. FMV får även besluta att det planerade förfarandet inte får genomföras (förbud) om ett beslut om föreläggande inte följs eller om förfarandet bedöms vara olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas.

FMV är samrådsinstans inför överlåtelse av säkerhetskänslig verksamhet

Den som bedriver säkerhetskänslig verksamhet inom området försvarsmateriel ska samråda med FMV innan verksamhetsutövaren avser överlåta

  • Säkerhetskänslig verksamhet.
  • Aktier eller andelar i säkerhetskänslig verksamhet (gäller dock inte aktier i aktiebolag som är publika enligt aktiebolagslagen).
  • Lös egendom som har betydelse för Sveriges säkerhet eller för ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd. 

Om verksamhetsutövaren inte samråder med FMV så får myndigheten inleda samrådet.

FMV får förelägga verksamhetsutövaren att vidta åtgärder enligt säkerhetsskyddslagen, säkerhetsskyddsförordningen och de föreskrifter som meddelats i anslutning till lagen eller förordningen. FMV får även besluta att överlåtelsen inte får genomföras (förbud) om ett beslut om föreläggande inte följs eller om överlåtelsen bedöms vara olämpligt från säkerhetsskyddssynpunkt även om ytterligare åtgärder vidtas.

Om en överlåtelse har genomförts utan samråd och förutsättningarna för ett förbud är uppfyllda, får FMV i efterhand besluta om ett sådant förbud. Överlåtelsen är då ogiltig.

2. Tillsynsmyndigheter inom säkerhetsskyddsområdet

Det finns 13 st tillsynsmyndigheter inom säkerhetsskyddsområdet.

Tillsynsmyndigheterna är:

  • Försvarsmakten
  • Säkerhetspolisen
  • Affärsverket svenska kraftnät
  • Transportstyrelsen
  • Post- och telestyrelsen
  • Försvarets materielverk
  • Finansinspektionen
  • Statens energimyndighet
  • Strålsäkerhetsmyndigheten
  • Länsstyrelsen i Stockholms län
  • Länsstyrelsen i Skåne län
  • Länsstyrelsen i Västra Götalands län
  • Länsstyrelsen i Norrbottens län

Respektive tillsynsmyndighets tillsynsområde framgår av 8 kap. 1 § säkerhetsskyddsförordningen (2021:955).

Tillsynsmyndigheterna ingår i ett samordningsforum vars syfte är att åstadkomma en likvärdig och effektiv tillsyn. Samordningsforumet leds av Säkerhetspolisen och Försvarsmakten.

I detta dokument finner du vanliga frågor och svar om säkerhetsskyddsavtal:

Frågor och svar om säkerhetsskyddsavtal

Hittar du inte svaret på din fråga? Skicka e-post till security@fmv.se

Titel: FMV Säkerhetsskydd

E-post: security@fmv.se

Publicerad: 2020-06-26